RCS - Manual del técnico 9.5 Technician ES... · 2019-07-08 · RCS 9.5 Lasuitedehackingparaintercepcióngubernamental Manualdeltécnico Manualdeltécnico-ver.1.9NOV-2014 2014©HTS.r.l

RCS 9.5La suite de hacking para intercepción gubernamental

Manual del técnico

Manual del técnico - ver.1.9 NOV-20142014©HT S.r.l.

Propiedad de la información© COPYRIGHT 2014, HT S.r.l.Todos los derechos reservados en todos los países.Está prohibido traducir a otros idiomas, adaptar, reproducir en otrosformatos, procesar mecánica o electrónicamente, fotocopiar oregistrar de cualquier otra forma cualquier parte de este manual sinla autorización previa por escrito de HackingTeam.Todos los nombres de empresas o productos pueden ser marcascomerciales o registradas, propiedad de sus respectivos dueños.Específicamente, Internet Explorer™ es una marca registrada deMicrosoft Corporation.Aunque los textos y las imágenes se seleccionen con sumo cuidado,HackingTeam se reserva el derecho de cambiar y/o actualizar lapresente información para corregir errores de tipeo u otros tipos deerrores sin previo aviso y sin responsabilidad alguna.Cualquier referencia a nombres, datos o direcciones de empresasajenas a HackingTeam es mera coincidencia y, a menos que seindique lo contrario, se incluyen como ejemplos para aclarar elfuncionamiento del producto.las solicitudes de copias adicionales de este manual o de lainformación técnica del producto se deben enviar a:

HT S.r.l.via della Moscova, 1320121 Milan (MI)ItaliaTel.: + 39 02 29 060 603Fax: + 39 02 63 118 946Correo electrónico: [email protected]

Contenido

Glosario xiiiIntroducción a esta guía 1Nuevas funciones de la guía 2Documentación incluida 4Convenciones tipográficas de notas 4Convenciones tipográficas de formato 5Destinatarios del producto y de esta guía 5Datos de identificación del autor del software 6

RCS Console para el técnico 7Pantalla inicial de RCS Console 8Cómo se ve la página de inicio de sesión 8Acceso a RCS Console 8

Descripción de la página principal 9Introducción 9Cómo se ve 9

Asistentes en la página principal 10Introducción 10Cómo se ve 10Investigación rápida 11

Elementos y acciones comunes de la interfaz 12Cómo se ve RCS Console 12Acciones siempre disponibles en la interfaz 14Cambiar el idioma de la interfaz o la contraseña 14Cambiar la fecha y la hora de RCS Console a su zona horaria 14Acciones relacionadas con las tablas 14

Procedimientos del técnico 16Introducción 16Procedimientos 16Inyección en las conexiones HTTP 16Infectar una computadora no conectada a Internet 16Infectar una computadora conectada a Internet 17Mantener actualizado el software del agent 18

Operation y target 19Qué debería saber acerca de las operations 20Qué es una operation 20

Qué debería saber acerca de los targets 20Qué es un target 20

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página i

Administración de operations 20Propósito 20Cómo se ve la función 20Para obtener más información 21Ver los targets de la operation 22

Datos de la operation 22Página de la operation 22Propósito 22Cómo se ve la función 22Para obtener más información 23Crear una factory 24

Datos de la página de la operation 24Targets 25Página del target 26Propósito 26Cómo se ve la función 26Para obtener más información 28Crear una factory 28Cerrar una factory o agent 28Eliminar una factory o agent 29Importar evidence del target 29

Datos de la página del target 29Vista de íconos 30Vista de Tabla 30

Qué debería saber acerca de las factories y los agents 31Métodos de infección 31Componentes de la estrategia de infección 31Factories 31Cómo crear factories 32Vectores de instalación 32Agents 32Módulos de obtención de datos 33

Compilación de una factory 33Propósito 33Próximos pasos 33Cómo se ve la función 33Para obtener más información 34Crear un agent 34Creación de un agent que se probará en el modo de demostración 35

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página ii

Agents 36Qué debería saber acerca de los agents 37Introducción 37Proceso de instalación de agents 37Íconos de agents 37Agent scout 38Agent soldier 38Agent elite 38Sincronización de agents 38Agents en línea y sin conexión 39Desactive temporalmente un agent 39Prueba de un agent 39Configuración de agents 40

Página del agent 40Propósito 40Cómo se ve la función 40Para obtener más información 42

Datos del registro de configuración de un agent 42Datos de registro de los eventos de un agent 43Datos del registro de sincronización de un agent 43Página de comandos 44Propósito 44Cómo se ve la función 44Para obtener más información 45

Transferencia de archivos hacia y desde el target 45Propósito 45Cómo se ve la función 45Para obtener más información 47

Factory y agent: configuración básica 48Qué debería saber acerca de la configuración básica 49Configuración básica 49Exportar e importar las opciones de configuración 49Guardar la configuración como una plantilla 49

Configuración básica de una factory o un agent 50Propósito 50Próximos pasos 50Cómo se ve la función 50Para obtener más información 52Configurar una factory o un agent 53

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página iii

Datos de la configuración básica 53Factory y agent: configuración avanzada 55Qué debería saber acerca de la configuración avanzada 56Configuración avanzada 56Componentes de configuración avanzada 56Lectura de secuencias 57Eventos 57Acciones 58Relaciones entre las acciones y los módulos 58Relaciones entre las acciones y los eventos 59Módulos 59Exportar e importar las opciones de configuración 59Guardar la configuración como una plantilla 59

Configuración avanzada de una factory o un agent 60Propósito 60Próximos pasos 60Cómo se ve la función 60Para obtener más información 63Creación de una secuencia de activación simple 63Crear una secuencia de activación compleja 63

Datos globales del agent 64El Network Injector 66Qué debería saber acerca del Network Injector y sus reglas 67Introducción 67Tipos de Network Injectors 67Tipos de recursos que pueden ser infectados 67Cómo crear una regla 67Reglas de identificación automática o manual 68Qué sucede cuando una regla está activada/desactivada 68Inicio de la infección 68

Administración de los Network Injector 68Propósito 68Qué puede hacer 68Cómo se ve la función 69Para obtener más información 70Agregar una nueva regla de inyección 70Enviar las reglas al Network Injector 71

Datos de la regla de inyección 71Verifique el estado del Network Injector 77

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página iv

Introducción 77Identificar cuándo se sincroniza Network Injector 77

Qué debería saber acerca de Appliance Control Center 77Introducción 77Funciones de Appliance Control Center. 78Sincronización con el RCS Server 78Clave de autentificación 78Actualización de las reglas de infección 78Uso de las interfaces de red 79Dirección IP de la interfaz de inyección 79Infección mediante identificación automática 79Infección mediante identificación automática 79

Qué debería saber acerca de Tactical Control Center 80Introducción 80Funcionamiento del Tactical Control Center 80Sincronización con el RCS Server 80Clave de autentificación 81Actualización de las reglas de infección 81Uso de las interfaces de red 81Infección mediante identificación automática 81Infección mediante identificación manual 82Obtención de la contraseña de una red Wi-Fi protegida 82Forzar la autentificación de los dispositivos desconocidos 83Infección mediante identificación automática 83Infección mediante identificación manual 83Establecer filtros en el tráfico interceptado 83Filtro con expresiones regulares 84Filtro de red BPF (Berkeley Packet Filter) 84

Identificar el target analizando el historial 84Emulación de un Punto de acceso conocido por el target 84

Qué debería saber acerca de la identificación de contraseñas de redes Wi-Fi 85Introducción 85WPA/WPA2 dictionary attack 85WEP bruteforce attack 85WPS PIN bruteforce attack 85Progreso del ataque 85

Qué debería saber acerca del desbloqueo de las contraseñas del sistema operativo 86Introducción 86Requisitos del Tactical Network Injector 86

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página v

Requisitos de la computadora del target 86Proceso estándar 87

Qué debería saber acerca del acceso remoto al Control Center 87Introducción 87Contraseña del disco (solo para Tactical Control Center) 88Módem 3G para la conexión 88Dirección IP del dispositivo 89Correo electrónico con modo de envío a dirección IP 89Protocolo de red 89Otras funciones útiles 89

Comandos de Tactical Control Center y Appliance Control Center 89Introducción 89Comandos 90

Appliance Control Center 90Propósito 90Solicitud de contraseña 91Cómo se ve la función 91Para obtener más información 91Activar la sincronización con RCS Server para recibir nuevas reglas 92Hacer una prueba a la red 93Infectar targets por medio de la identificación automática 93Configurar el acceso remoto a las aplicaciones 95Ver los detalles de una infección 96

Datos de Appliance Control Center 97Datos de la pestaña Network Injector 97Datos de la pestaña System Management 97

Tactical Control Center 98Propósito 98Solicitud de contraseña 98Cómo se ve la función 98Para obtener más información 100Activar la sincronización con RCS Server para recibir nuevas reglas 100Hacer una prueba a la red 101Obtener una contraseña de red Wi-Fi protegida 101Infectar targets por medio de la identificación automática 103Forzar la autentificación de los dispositivos desconocidos 105Infectar targets por medio de la identificación manual 106Establecer filtros en el tráfico interceptado 108Identificar el target analizando el historial web 109

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página vi

Limpiar dispositivos infectados por error 110Emulación de un Punto de acceso conocido por el target 110Desbloquear una contraseña del sistema operativo. 111Configurar el acceso remoto a las aplicaciones 112Apagar el Tactical Network Injector 115Ver los detalles de una infección 115

Datos del Tactical Control Center 115Datos de la pestaña Network Injector 115Datos encontrados del dispositivo 115Datos de la pestaña Wireless Intruder 116Datos de la pestaña Fake Access Point 117Datos de la pestaña System Management 117

Otras aplicaciones instaladas en Network Injectors 118Introducción 118Aplicaciones 118

Monitoreo del sistema 119Monitoreo del sistema (Monitor) 120Propósito 120Cómo se ve la función 120Para obtener más información 121

Datos de monitoreo del sistema (Monitor) 121Datos del monitoreo de los componentes del sistema 121Datos de monitoreo de la licencia 122

Anexo: acciones 124Lista de subacciones 125Descripción de los datos de las subacciones 125Descripción de tipos de subacciones 125

Acción Destroy 125Propósito 125Parámetros 126

Acción Execute 126Propósito 126Referencia a la carpeta del agent 126Datos importantes 127

Acción Log 127Propósito 127Parámetros 127

Acción SMS 127Propósito 127

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página vii

Parámetros 127Acción Synchronize 128Propósito 128Configuración de escritorio 128Configuración móvil 129Criterio de selección del tipo de conexión (Windows Phone) 129

Acción Uninstall 129Propósito 129

Anexo: eventos 131Lista de eventos 132Descripción de los datos de los eventos 132Descripción de los tipos de eventos 132

Evento AC 133Propósito 133

Evento Battery 133Propósito 133Parámetros 133

Evento Call 134Propósito 134Parámetros 134

Evento Connection 134Propósito 134Configuración de escritorio 134

Evento Idle 135Propósito 135Parámetros 135

Evento Position 135Propósito 135Parámetros 135

Evento Process 135Propósito 135Parámetros 136

Evento Quota 136Propósito 136Parámetros 136

Evento Screensaver 136Propósito 136

Evento SimChange 137Propósito 137

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página viii

Evento SMS 137Propósito 137Parámetros 137

Evento Standby 137Evento Timer 138Propósito 138Parámetros 138

Evento Window 138Propósito 138

Evento WinEvent 138Propósito 138Parámetros 139

Anexo: módulos 140Lista de módulos 141Módulo Addressbook 143Propósito 143

Módulo Application 143Propósito 143

Módulo Calendar 143Propósito 143

Módulo Call 143Propósito 143Datos importantes 143

Módulo Camera 144Propósito 144Datos importantes 144

Módulo Chat 144Propósito 144

Módulo Clipboard 145Propósito 145

Módulo Conference 145Propósito 145Datos importantes 145

Módulo Crisis 145Comportamiento en dispositivos de escritorio 145Comportamiento en dispositivos móviles 146Datos importantes de los dispositivos de escritorio 146Datos importantes de los dispositivos móviles 146

Módulo Device 147

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página ix

Propósito 147Datos importantes de los dispositivos móviles 147

Módulo File 147Propósito 147Datos importantes 147

Módulo Keylog 148Propósito 148

148Módulo Livemic 149Propósito 149Datos importantes 149

Módulo Messages 149Propósito 149Datos importantes 149

Módulo Mic 150Propósito 150Datos importantes de los dispositivos de escritorio 150

Módulo Money 151Propósito 151

Módulo Mouse 151Propósito 151Datos importantes 152

Módulo Password 152Propósito 152

Módulo Position 152Propósito 152Datos importantes de los dispositivos móviles 152

Módulo Screenshot 153Propósito 153Datos importantes 153

Módulo URL 153Propósito 153

Apéndice: vectores de instalación 154Lista de vectores de instalación 155Qué debería saber acerca de Android 156Privilegios raíz 156

Obtención de un certificado Code Signing 157Introducción 157Instalación de un certificado Code Signing 157

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página x

Vector Exploit 157Propósito 157Instalación de dispositivos de escritorio 157Instalación de dispositivos móviles 158Ejemplo de comandos para copiar el instalador en un dispositivo con iOS 158Eliminar los archivos que ya no están en uso 158Parámetros 158

Vector Installation Package 158Propósito 158Notas para los sistemas operativos Android (preparación del vector) 159Notas para los sistemas operativos Android (instalación) 159Notas para los sistemas operativos Windows Phone (preparación del vector) 160Notas para los sistemas operativos Windows Phone (instalación) 160Notas para los sistemas operativos Windows Mobile 161Notas para los sistemas operativos BlackBerry 161Notas para los sistemas operativos Symbian 161Parámetros de Android, WinMobile, Windows Phone 162Parámetros para BlackBerry 162Parámetros para Symbian 162

Preparación de Installation Package para Windows Phone 163Introducción 163Secuencia recomendada 163Cómo leer estas instrucciones 163Obtener un código ID de Symantec 163Obtener un certificado de Symantec 164Instalación del certificado de Symantec 165Genere los archivos .pfx y .aetx 166Cargue los archivos .pfx y .aetx en el servidor de base de datos de RCS 167

Vector Local Installation 167Propósito 167

Vector Melted Application 168Propósito 168Parámetros 169Dispositivos de escritorio 169Dispositivos móviles 169

Vector Network Injection 169Propósito 169

Vector Offline Installation 170Propósito 170

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página xi

Parámetros 170Instalación o desinstalación de un agent 170Exportar evidence 171

Vector Persistent Installation (computadoras de escritorio) 171Propósito 171Preparación del vector 171Instalación del agent 171Condiciones de activación de la infección 172Verificar la instalación 172

Vector Persistent Installation (dispositivos móviles) 172Propósito 172Preparación del vector 173Instalación del agent 173Parámetros 174

Vector QR Code/Web Link 174Propósito 174Operations 174Eliminar los archivos que ya no están en uso 174Parámetros 174

Vector Silent Installer 175Propósito 175

Vector U3 Installation 175Propósito 175

Vector WAP Push Message 176Propósito 176Operations 176Instalación 176Eliminar los archivos que ya no están en uso 176Parámetros 176

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página xii

GlosarioA continuación se detallan las definiciones utilizadas en este manual.

A

AccountingSección de la consola en la que se administra el acceso a RCS.

AdministradorEs la persona que permite el acceso al sistema, crea grupos de trabajo y define lasoperations, los targets y los tipos de datos que se recopilarán.

Administrador del sistemaPersona que instala los servidores y las consolas, actualiza el software y restauralos datos en caso de alguna falla.

AgentSoftware de sondeo instalado en los dispositivos a monitorear. Está diseñado parareunir evidence y transmitirla al Collector.

Agent eliteAgent instalado en dispositivos seguros. Le permite recopilar todos los tipos de evi-dence disponibles.

Agent scoutReemplaza al agent enviado al dispositivo para verificar el nivel de seguridadantes de instalar agents reales (elite o soldier).

Agent soldierAgent instalado en dispositivos que no son completamente seguros. Solo le per-mite recopilar algunos tipos de evidence.

AlertingSección de la consola en la que se administran los alerts de nueva evidence.

alerts de evidenceAlertas, usualmente en forma de correos electrónicos, que se envían a los analistascuando hay nueva evidence que coincide con las reglas establecidas.

RCS9.5 - Glosario

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página xiii

AnalistaPersona encargada de analizar los datos recopilados durante las operations.

Anonymizer(opcional) Protege al servidor contra ataques externos y permite permanecer anó-nimo durante las investigaciones. Transfiere los datos del agent a los Collectors.

AuditSección de la consola que reporta las acciones de todos los usuarios y el sistema.Se utiliza para controlar el abuso de RCS.

B

back endEntorno diseñado para desencriptar y guardar la información que se recopila.Incluye el Master Node y las bases de datos shard.

BRAS(Broadband Remote Access Server) Dirige el tráfico hacia o desde el DSLAM a lared del ISP y administra la autentificación de los suscriptores del ISP.

BSSID(Basic Service Set IDentifier) Punto de acceso y su identificador cliente.

C

CarrierServicio del Collector: envía los datos recibidos de los Anonymizers a las bases dedatos shard o al Master Node.

CollectorServicio de Collector: recibe los datos que envían los agents a través de la cadenade Anonymizers.

consolaComputadora en la que se instala RCS Console. Accede directamente a RCS Ser-ver o al Master Node.

RCS9.5 - Glosario

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página xiv

D

DashboardSección de la consola utilizada por el analista. Se usa para tener un resumenrápido del estado de las operations, targets y agents más importantes.

DSLAM(Digital Subscriber Line Access Multiplexer) Dispositivo de red que usualmente seencuentra en la central telefónica de los operadores de telecomunicaciones.Conecta varias interfaces de líneas de abonados digitales (DSL) a un canal decomunicaciones de alta velocidad digital usando técnicas de multiplexión.

E

Emisor de RCSSistema RCS que recibe evidence de los agents y la transfiere a otros sistemasRCS (consultar) a través de las reglas de conexión. Es un sistema RCS completo.

entidadGrupo de información de Intelligence vinculada con el target y con las personas ylugares involucrados en la investigación.

ESSID(Extended Service Set IDentifier) También conocido como SSID. Permite identificarla red Wi-Fi.

evidenceEvidence de datos recopilados. El formato depende del tipo de evidence (p. ej.: ima-gen).

ExploitCódigo que se aprovecha de un error o vulnerabilidad y ejecuta un código impre-visto. Se utiliza para infectar a los dispositivos de los targets.

F

factoryUna plantilla para la configuración y compilación de un agent.

RCS9.5 - Glosario

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página xv

front endEntorno diseñado para comunicarse con los agents para recopilar información yestablecer su configuración. Incluye Collectors.

G

GrupoEntidad de Intelligence que agrupa a varias entidades.

grupo de alertingGrupo de usuarios que reciben notificaciones por correo cuando se activa unaalarma del sistema (por ejemplo, cuando la base de datos excede los límites deespacio disponible). Usualmente este grupo no está vinculado con ninguna ope-ration.

M

MonitorSección de la consola en la que se monitorea el estado de los componentes y lalicencia.

N

Network ControllerServicio del Collector: verifica el estado del Network Injector y el Anonymizer y lesenvía nuevos parámetros de configuración y actualizaciones de software.

Network InjectorComponente de hardware que controla el tráfico de la red del target e inyecta unagent en los recursos web seleccionados. Viene en dos versiones, Appliance oTactical: la primera es para la implementación en el ISP, la segunda se usa en elcampo.

Network Injector ApplianceVersión apilable del Network Injector, para instalarlo en el ISP. Consulte: TacticalNetwork Injector.

RCS9.5 - Glosario

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página xvi

O

operationInvestigación dirigida a uno o más targets, cuyos dispositivos tendrán agents.

P

PersonEntidad de Intelligence que representa a una persona involucrada en la inves-tigación.

PositionEntidad de Intelligence que representa a un lugar involucrado en la investigación.

R

RCS(Remote Control System). El producto que aquí se documenta.

RCS ConsoleSoftware diseñado para interactuar con RCS Server.

RCS ServerUna o más computadoras, según la arquitectura de instalación, donde se instalanlos componentes esenciales de RCS: las bases de datos shard, los Network Con-troller y el Collector.

Receptor de RCSSistema RCS que recibe evidence de otros sistemas RCS emisores (consultar)pero nunca directamente de los agents. En comparación con un RCS completo, elreceptor de RCS solo cuenta con las funciones de procesamiento de evidence.

reglas de alertReglas que crean alerts cuando se almacena nueva evidence o los agents secomunican por primera vez.

reglas de inyecciónOpciones de configuración que definen cómo identificar el tráfico HTTP, quérecurso debe inyectarse y qué método se usará para la inyección.

RCS9.5 - Glosario

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página xvii

S

secuencia de obtenciónGrupo de eventos, acciones y módulos de obtención complejos, que forman partede la configuración avanzada de agents.

SSH(Secure SHell) Protocolo de red para la transmisión segura de datos, los serviciosdel intérprete de comandos remoto o la ejecución de comandos.

SystemSección de la consola en la que se administra el sistema.

T

Tactical Network InjectorVersión portátil del Network Injector, para uso táctico. Consulte: Network InjectorAppliance.

TAP(Test Access Port) Dispositivo de hardware que se instala en una red y que moni-torea de forma pasiva el flujo de datos transmitido.

targetLa persona física bajo investigación.Se representa por medio de la entidad Targeten la sección Intelligence.

TécnicoPersona designada por el administrador para crear y administrar agents.

V

VirtualEntidad de Intelligence que representa a una ubicación virtual (p. ej.: sitio web) invo-lucrado en la investigación.

VPS(Virtual Private Server) Servidor remoto en el que se instala el Anonymizer. Usual-mente se alquila.

RCS9.5 - Glosario

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página xviii

W

WPA(Wi-Fi Protected Access) Protección de la red Wi-Fi.

WPA 2(Wi-Fi Protected Access) Protección de la red Wi-Fi.

RCS9.5 - Glosario

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página xix

1Introducción a esta guía

Presentación

Objetivos de este manual

Este manual sirve como guía para el Técnico sobre cómo usar RCS Console para:l crear agents e instalarlos en un target definido por el administradorl crear las reglas de inyección de conexiones HTTP para los Network Injectors

A continuación se muestra la información necesaria para consultar el manual.

Contenido

En esta sección se incluyen los siguientes temas:

Nuevas funciones de la guía 2Documentación incluida 4Convenciones tipográficas de notas 4Convenciones tipográficas de formato 5Destinatarios del producto y de esta guía 5Datos de identificación del autor del software 6

Manual del técnicover.1.9 NOV-2014 - RCS9.5 - 2014©HT S.r.l. - página 1

Nuevas funciones de la guíaLista de notas publicadas y actualizaciones a esta ayuda en línea.

Fecha depublicación

Código Versióndesoftware.

Descripción

24 denoviembrede 2014

Manualdel téc-nico1.9NOV-2014

9.5 Se agregó un vector de instalación Persistent Installation paradispositivos móviles, consulte "Vector Persistent Installation(dispositivos móviles)" en la página 172Se cambió el procedimiento de instalación del agent por lainstalación del vector Persistent Installation paracomputadoras de escritorio, consulte " Vector PersistentInstallation (computadoras de escritorio)" en la página 171 .Se agergó una sección en la pestaña System Managementdel Control Center para establecer el Anonymizer, la clave deautentificación para el Network Injector y para iniciar lasincronización con RCS Server de forma manual, consulte"Tactical Control Center " en la página 98 y "ApplianceControl Center" en la página 90 .

20 de sep-tiembre de2014

Manualdel téc-nico1.8SEP-2014

9.4 Se agregaron procedimientos para instalar/desinstalar elagent y para exportar evidence en la computadora de un tar-get para el vector de instalación de Offline, consulte "VectorOffline Installation" en la página 170 .

23 de juniode 2014

Manualdel téc-nico1.7JUN-2013

9.3 En Tactical Control Center se agregó una función paradesbloquear la contraseña del sistema operativo, consulte"Qué debería saber acerca del desbloqueo de las contraseñasdel sistema operativo" en la página 86 , "Qué debería saberacerca de Tactical Control Center" en la página 80 .Se agregó una identificación y una regla de inyección quepermite controlar a través del Control Center.Se agregó una lista de aplicaciones de terceros instalada en elNetwork Injector, consulte "Otras aplicaciones instaladas enNetwork Injectors" en la página 118 .Se agregó un vector Persisten Installation, consulte "VectorPersistent Installation (computadoras de escritorio) " en lapágina 171Se actualizó la sección de registro de sincronización deagents, consulte "Datos del registro de sincronización de unagent" en la página 43

RCS9.5 - Nuevas funciones de la guía

Manual del técnico | ver.1.9 NOV-2014 | RCS9.5 | 2014©HT S.r.l. - página 2

Fecha depublicación

Código Versióndesoftware.

Descripción

19 defebrero de2014

Manualdeltécnico1.6FEB-2014

9.2 Se eliminó la información relacionada con los sistemasoperativos que soportan cada acción, módulo y evento en laconfiguración avanzada. En caso de necesitarla, debe ponerseen contacto con el servicio técnico.Se agregó el módulo Money consulte "Módulo Money" en lapágina 151 .Se actualizó la documentación del vector de instalación,consulte "Apéndice: vectores de instalación" en la página 154.Se agregó el agent de nivel soldier, consulte "Qué deberíasaber acerca de los agents" en la página 37 .Se agregó la configuración de acceso remoto a lasaplicaciones Tactical Control Center y Appliance ControlCenter, consulte "Tactical Control Center" en la página 98 ,"Qué debería saber acerca del acceso remoto al ControlCenter" en la página 87Se agregó la prueba de las redes en Appliance Control Center,consulte "Appliance Control Center" en la página 90 .Se eliminó la regla INJECT-UPGRADE, consulte "Datos de laregla de inyección" en la página 71 .Se agregó lo que debería saber acerca de la funciónWirelessIntruder , consulte " Qué debería saber acerca de laidentificación de contraseñas de redes Wi-Fi" en la página 85.Se agregó la descripción de los comandos de terminal paralas aplicaciones Tactical Control Center y Appliance ControlCenter, consulte "Comandos de Tactical Control Center yAppliance Control Center" en la página 89

30 de sep-tiembre de2013

Manualdeltécnico1.5 SEP- 2013

9 Se agregó la plataforma Windows Phone, consulte "VectorInstallation Package" en la página 158Se actualizó la documentación para administrar los privilegiosde raíz de los dispositivos Android, consulte "Qué deberíasaber acerca de Android" en la página 156 .Se actualizó la documentación sobre la administración deNetwork Injector, consulte "El Network Injector" en la página66 .Se actualizó la documentación debido a las mejoras a lainterfaz de usuario.Se mejoró el contenido.

RCS9.5 - Nuevas funciones de la guía


Documentación incluidaLos siguientes manuales se incluyen con el software RCS:

Manual Destinatarios Código Formato de dis-tribución

Manual del administradordel sistema

Administrador delsistema

Manual del administradordel sistema1.8 NOV-2014

PDF

Manual del administrador Administradores Manual del administrador1.6 NOV-2014 PDF

Manual del técnico(estemanual)

Técnicos Manual del técnico1.9 NOV-2014 PDF

Manual del analista Analistas Manual del analista1.8 NOV-2014 PDF

Convenciones tipográficas de notasLas notas previstas en este documento se detallan a continuación (Manual de estilo de Microsoft):

ADVERTENCIA: indica una situación de riesgo que, si no se evita, podría causarlesiones físicas en el usuario o daños en el equipo.

PRECAUCIÓN: indica una situación de riesgo que, si no se evita, puede causar la pérdidade datos.

IMPORTANTE: indica las acciones necesarias para realizar una tarea. Si bien puedenpasarse por alto algunas notas sin que esto afecte a la realización de la tarea, no sedeberían omitir las indicaciones importantes.

NOTA: información neutral y positiva que enfatiza o complementa la información deltexto principal. Proporciona información que puede aplicarse solo en casos especiales.

Sugerencia: recomendación para la aplicación de técnicas y procedimientos descritos enel texto de acuerdo a ciertas necesidades especiales. Puede sugerirse un métodoalternativo y no es esencial para la comprensión del texto.

Llamada al servicio: la operation solo puede completarse con la ayuda del serviciotécnico.

RCS9.5 - Documentación incluida


Convenciones tipográficas de formatoA continuación se muestran las explicaciones de algunas convenciones tipográficas:

Ejemplo Estilo Descripción

Consulte " Datosdel usuario"

cursiva indica el título de un capítulo, una sección, una subsección, unpárrafo, una tabla o una imagen de este manual u otrapublicación a la que se hace referencia.

<ddmmaaaa> <aaa> indica un texto que el usuario debe ingresar de acuerdo acierta sintaxis. En el ejemplo, <ddmmaaaa> es una fecha y unposible valor podría ser “14072011”.

Seleccione uno delos servidores dela lista [2].

[x] indica el objeto citado en el texto que aparece en la imagenadyacente.

Haga clic enAgregar.Seleccione elmenú Archivo,Guardar datos.

negrita indica el texto en la interfaz del operador, que puede ser unelemento gráfico (como una tabla o pestaña) o un botón en lapantalla (como mostrar).

Presione Entrar primeraletramayúscula

indica el nombre de una tecla en el teclado.

Consulte: NetworkInjectorAppliance.

- sugiere que compare la definición de una palabra en el glosarioo contenido con otra palabra o contenido.

Destinatarios del producto y de esta guíaA continuación se muestra una lista de los profesionales que interactúan con RCS.

RCS9.5 - Convenciones tipográficas de formato


Destinatario Actividad Habilidades

Administradordel sistema

Sigue las indicaciones de HackingTeam que se suministrandurante la fase contractual. Instala y actualiza los RCS Servers,los Network Injectors y las RCS Cosoles. Programa y se encargade realizar las copias de seguridad. Restaura las copias deseguridad si se reemplazan los servidores.

ADVERTENCIA: el administrador del sistema debetener las habilidades necesarias. HackingTeam nose hace responsable en caso de malfuncionamiento del equipo o de posibles dañosocasionados por la instalación por parte de unapersona no profesional.

Técnico dered experto

Administrador Crea cuentas y grupos autorizados. Crea operations y targets.Monitorea el estado del sistema y de las licencias.

Administradordeinvestigación

Técnico Crea agents y los configura. Establece las reglas de NetworkInjector

Técnicoespecialistaenintercepciones

Analista Analiza la evidence y la exporta. Operativo

Datos de identificación del autor del softwareHT S.r.l.via della Moscova, 1320121 Milan (MI)ItaliaTel.: + 39 02 29 060 603Fax: + 39 02 63 118 946Correo electrónico: [email protected]

RCS9.5 - Datos de identificación del autor del software


2RCS Console para el técnico

Presentación

Introducción

RCS (Remote Control System) es una solución que soporta investigaciones por medio de laintercepción activa y pasiva de los datos y la información de los dispositivos bajo investigación. Dehecho, RCS crea, configura e instala agents de software de forma anónima que recopilan datos einformación y envían los resultados a la base de datos central para decodificarlos y guardarlos.

Rol del técnico

El rol del técnico es:l crear reglas de inyección para cada Network Injectorl crear agents de infección para los distintos dispositivos del targetl mantener actualizado el software del agent

Funciones a las que el técnico tiene acceso

Para realizar sus actividades, el técnico tiene acceso a las siguientes funciones:l Operationsl System

Contenido


Pantalla inicial de RCS Console 8Descripción de la página principal 9Asistentes en la página principal 10Elementos y acciones comunes de la interfaz 12Procedimientos del técnico 16


Pantalla inicial de RCS ConsoleCuando se abre RCS Console, se le pide que ingrese sus datos de inicio de sesión que estableció eladministrador.

Cómo se ve la página de inicio de sesiónAsí es como se ve la página de inicio de sesión:

Área Descripción

1 Barra de título con botones de comando:Cierra RCS Console.

Botón para ampliar la ventana.

Botón para minimizar la ventana.

2 Ventana de diálogo para ingresar al sistema.

Acceso a RCS ConsolePara acceder a las funciones de RCS Console:

RCS9.5 - Pantalla inicial de RCS Console


Paso Acción

1 En Nombre de usuario y Contraseña, ingrese sus datos de inicio de sesión asignadospor el administrador.

2 En Servidor, ingrese el nombre del equipo o la dirección del servidor al que deseaconectarse.

3Haga clic en : aparecerá la página principal con los menús activados según losprivilegios de su cuenta. Consulte "Descripción de la página principal" abajo .

Descripción de la página principal

Para ver la página prin-cipal:

l haga clic en

IntroducciónAl abrir RCS Console se mostrará la página principal. Todos los usuarios verán la misma página.Los menús se verán activos según los privilegios asignados a la cuenta.

Cómo se veAsí es como se ve la página principal, con elementos guardados que se abrieron recientemente.Detalle de los elementos y las acciones comunes:

RCS9.5 - Descripción de la página principal


Área Descripción

1 Barra de título con botones de comando.

2 Menú de RCS con las funciones activas para el usuario.

3 Cuadro de búsqueda para buscar operations, targets, agents y entidades, por nombreo descripción.

4 Enlaces a los cinco elementos abiertos (operation en la sección Operations ,operation en la sección Intelligence, target, agent y entidad).

5 Botones del asistente.

6 Usuario conectado con opciones para cambiar el idioma y la contraseña.

7 Área de descarga con una barra de progreso durante la exportación o compilación.

8 Fecha y hora actuales con opciones para cambiar la zona horaria.

Asistentes en la página principal

Para ver la página prin-cipal:

l haga clic en

IntroducciónPara los usuarios con ciertos privilegios, en RCS Console se muestran los botones que permitenabrir los asistentes.

Cómo se veAsí es como se ve la página principal con los asistentes activados:

RCS9.5 - Asistentes en la página principal


Botón Función

Abre el asistente para crear rápidamente un agent.NOTA: el botón solo se activa para los usuarios con privilegiosAdministrador y Técnico.

Abre el asistente para guardar rápidamente los datos de operation y target.NOTA: el botón solo se activa para los usuarios con privilegiosAdministrador y Administrador del sistema.

Investigación rápidaEste asistente permite crear rápidamente un agent. El asistente le pide que ingrese el nombre(por ejemplo: "AveNocturna") y el tipo de agent que se desea crear (de escritorio o móvil) y crealo siguiente, en este orden:

1. una operation "AveNocturna"2. un target "AveNocturna"3. una factory "AveNocturna"4. un grupo de usuarios "AveNocturna" en el cual el usuario actual es el único miembro

A continuación se abre la página de configuración de la factory. Consulte "Configuración básica deuna factory o un agent" en la página 50Para incluir otros elementos en esta operation, target o grupo de usuarios, simplemente entre ala página de detalles.

RCS9.5 - Investigación rápida


Elementos y acciones comunes de la interfazCada página del programa usa elementos comunes y permite realizar acciones similares.Para facilitar la comprensión del manual, en este capítulo se describirán los elementos y accionescompartidos por ciertas funciones.

Cómo se ve RCS ConsoleAsí es como se ve usualmente la página de RCS Console. En este ejemplo se muestra la página deun target:

Área Descripción

1 Barra de título con botones de comando:

Salir de RCS.

Botón para volver a cargar la página.

Botón para ampliar la ventana.

Botón para minimizar la ventana.

2l Botón Anterior del historial de navegaciónl Botón Siguiente del historial de navegaciónl Botón para regresar a la página principall Menú de RCS con las funciones activas para el usuario.

RCS9.5 - Elementos y acciones comunes de la interfaz


Área Descripción

3 Barra de navegación de la operation. A continuación se muestra la descripción decada elemento:

Ícono DescripciónRegresar al nivel superior.

Muestra la página de la operation (sección Operations).

Muestra la página del target.

Muestra la página de la factory.

Muestra la página del agent.

Muestra la página de la operation (sección Intelligence).

Muestra la página de la entidad.

4 Botones que permiten mostrar todos los elementos, independientemente del grupoal que pertenecen. A continuación se muestra la descripción de cada elemento:

Ícono DescripciónMuestra todas las operations.

Muestra todos los targets.

Muestra todos los agents.

Muestra todas las entidades.

5 Barra de herramientas de la ventana.

6 Botones y cuadro de búsqueda:

Objeto DescripciónCuadro de búsqueda. Escriba parte del nombre para queaparezca una lista con los elementos que contienen esasletras.

Muestra los elementos en una tabla.

Muestra los elementos como íconos.

7 Usuario conectado con opciones para cambiar el idioma y la contraseña.

RCS9.5 - Cómo se ve RCS Console


Área Descripción

8 Área de descarga con una barra de progreso durante la exportación o compilación.Los archivos se descargan en el escritorio, en la carpeta Descarga de RCS.

l Barra superior: porcentaje de generación en el servidorl Barra inferior: porcentaje de descarga desde el servidor a RCS Console.

9 Fecha y hora actuales con opciones para cambiar la zona horaria.

Acciones siempre disponibles en la interfaz

Cambiar el idioma de la interfaz o la contraseñaPara cambiar el idioma de la interfaz o la contraseña:

Paso Acción

1 Haga clic en [7] para que aparezca una ventana de diálogo con los datos del usuario.

2 Cambie el idioma o la contraseña y haga clic en Guardar para confirmar y salir.

Cambiar la fecha y la hora de RCS Console a su zona horariaPara convertir todas las fechas y horas a su zona horaria:

Paso Acción

1 Haga clic en [9] para que aparezca una ventana de diálogo con la fecha y la horaactuales:Hora UTC: hora media de Greenwich (GMT)Hora local: fecha y hora donde se encuentra instalado el RCS ServerHora de la consola: fecha y hora de la consola que se está utilizando y que se puedecambiar.

2 Cambie la zona horaria y haga clic en Guardar para confirmar y salir: todas lasfechas y horas se cambiarán según lo que haya indicado.

Acciones relacionadas con las tablasRCS Console muestra varios datos en forma de tablas. Las tablas le permiten:

l ordenar los datos por columna en orden ascendente o descendentel filtrar datos por columna

RCS9.5 - Acciones siempre disponibles en la interfaz


Acción Descripción

Ordenar por columna Haga clic en el encabezado de la columna para ordenarla de formaascendente o descendente.

Filtrar un texto Escriba una parte del texto que desea buscar: se mostrarán solo loselementos que contengan esas letras.

Al escribir el mismo texto que en el ejemplo se mostrarán elementoscon una descripción como:

l "myboss"l "bossanova"

Filtrar en base a unaopción

Seleccione una opción: se mostrarán los elementos que coincidan conla opción seleccionada.

Filtrar en base avarias opciones

Seleccione una o más opciones: se mostrarán los elementos quecoincidan con las opciones seleccionadas.

Cambiar el tamaño dela columna

Seleccione el borde de la columna y arrástrelo.

RCS9.5 - Acciones relacionadas con las tablas


Procedimientos del técnico

IntroducciónEl técnico está a cargo de las reglas de infección para recuperar información importante. Acontinuación se describen los procedimientos típicos, con referencias a los capítulos relacionados.Estas solo son simples indicaciones. Las habilidades y la competencia son esenciales para explotarla flexibilidad de RCS y adaptarla a las necesidades de investigación.

Procedimientos

Inyección en las conexiones HTTPPara la inyección de conexiones HTTP debe utilizarse el Network Injector.

Paso Acción

1 En la sección System, Network Injector, cree las reglas de identificación e infecciónpara Network Injector Appliance y Tactical Network Injector.Consulte "Administración de los Network Injector" en la página 68

NOTA: no se requiere instalar ningún agent.

2 Al utilizar Network Injector Appliance, el sistema aplica las reglas de identificaciónpara el tráfico de datos. Una vez que se encuentran los dispositivos del target, se losinfecta con las reglas de inyección.O se los puede identificar e infectar de forma automática o manual por medio delTactical Network Injector.Consulte "Tactical Control Center" en la página 98 .

Infectar una computadora no conectada a InternetPara infectar una computadora no conectada a Internet:

RCS9.5 - Procedimientos del técnico


Paso Acción

1 Cree una factory y desactive la sincronización a nivel operation, consulte "Página dela operation" en la página 22 .O cree un una factory a nivel target, siempre sin sincronización, consulte "Página deltarget" en la página 26

2 Compile la factory seleccionando el vector de instalación adecuado para laplataforma del dispositivo y el método de instalación, luego cree un agent.Consulte "Compilación de una factory" en la página 33 .

3 Instale el agent en el dispositivo del target con los métodos seleccionados.Consulte "Lista de vectores de instalación" en la página 155 .

4 Después del tiempo necesario, recupere la evidence generada en el dispositivo deltarget.

5 Importe la evidence del agent y analícela.Consulte "Página del agent" en la página 40 .

Infectar una computadora conectada a InternetPara infectar una computadora conectada a Internet:

Sugerencia: estos pasos son esenciales cuando no sabe desde un principio quéactividades del target va a registrar o si desea evitar registrar una cantidad excesiva dedatos.

Paso Acción

1 Cree una factory: el sistema activará automáticamente la sincronización.Consulte "Página de la operation" en la página 22

2 Compile la factory seleccionando el vector de instalación adecuado para laplataforma del dispositivo y el método de instalación, luego cree un agent.Consulte "Compilación de una factory" en la página 33 .

3 Instale el agent en el dispositivo del target con los métodos seleccionados.Consulte "Lista de vectores de instalación" en la página 155 .

4 El agent se mostrará en la página del target en la primera sincronización.Consulte "Página del target" en la página 26

5 Restablezca los parámetros del agent usando la configuración básica o avanzada. Elagent aplica la nueva configuración en la siguiente sincronización.Consulte "Configuración básica de una factory o un agent" en la página 50Consulte "Configuración avanzada de una factory o un agent" en la página 60 .

RCS9.5 - Infectar una computadora conectada a Internet


Mantener actualizado el software del agentHackingTeam actualiza cíclicamente su software. Para actualizar los agents instalados:

Paso Acción

1 l En la sección Operations, Target actualice los agents. Consulte "Página deltarget" en la página 26

ol En la sección Operations, Target abra un agent y actualícelo. Consulte

"Página del agent" en la página 40 .

RCS9.5 -Mantener actualizado el software del agent


Operation y target

Presentación

Introducción

La administración de operations establece los targets que serán interceptados.

Contenido


Qué debería saber acerca de las operations 20Qué debería saber acerca de los targets 20Administración de operations 20Datos de la operation 22Página de la operation 22Datos de la página de la operation 24

RCS9.5 - Operation y target


Qué debería saber acerca de las operations

Qué es una operationUna operation es una investigación que se llevará a cabo. Una operation contiene uno o mástargets, es decir, las personas físicas que se van a interceptar. El técnico asigna uno o más agents,de escritorio o móviles, al target. Por lo tanto, es posible instalar agents en una computadora oteléfono móvil.

Qué debería saber acerca de los targets

Qué es un targetUn target es una persona física que va a ser investigada. El técnico asigna uno o más agents, deescritorio o móviles, al target. Por lo tanto, es posible instalar agents en una computadora oteléfono móvil.

Administración de operations

Para administraroperations:

l Sección Operations

PropósitoEsta función le permite:

l ver y administrar los targets vinculados con una operation

NOTA: la función solo se activa si el usuario tiene autorización Administración deoperations.

Cómo se ve la funciónAsí es como se ve la página:

RCS9.5 - Qué debería saber acerca de las operations


Área Descripción

1 Menú de RCS.

2 Barra de navegación


4 Lista de operations creadas:

Operation abierta. Si se establecieron targets y se instalaron agentscorrectamente, se recibirá la evidence recopilada.

Operation cerrada. Todos los targets están cerrados y los agents desinstalados.Aún se pueden ver todos los targets y la evidence .

5 Datos de una operation seleccionada.

6 Barra de estado de RCS.

Para obtener más informaciónPara ver las descripciones de los elementos de la interfaz Consulte "Elementos y accionescomunes de la interfaz" en la página 12 .Para ver una descripción de los datos en esta ventana consulte "Datos de la operation" en lapágina siguiente .Para obtener más información sobre las operations consulte "Qué debería saber acerca de lasoperations" en la página precedente .

RCS9.5 - Para obtener más información


Ver los targets de la operationPara ver los targets de la operation:

Paso Acción

1 Haga doble clic una operation: se abrirá la página de administración de targets.Consulte "Página de la operation" abajo

Datos de la operationA continuación se describen los datos de la operation seleccionada:

Datos Descripción

Nombre Nombre de la operation.

Descripción Descripción del usuario

Contacto Los campos descriptivos se utilizan para definir, por ejemplo, el nombre de unapersona de contacto (juez, abogado, etc.).

Estado Estado de la operation y comando de cierre:Abierta: la operation está abierta. Si se establecieron targets y se instalaronagents correctamente, RCS recibe la evidence recopilada.Cerrada: la operation está cerrada y no podrá volver a abrirse. Los agents ya noenviarán más datos, pero todavía podrá consultar la evidence que ya se recibió.

Grupos Grupos que pueden ver la operation.

Página de la operation

Para ver una operation: l En la sección Operations, haga doble clic en una operation


l administrar factories que, una vez compiladas, se convierten en agents que se instalaránen los dispositivos consulte "Configuración avanzada de una factory o un agent" en lapágina 60


RCS9.5 - Ver los targets de la operation


Área Descripción

1 Menú de RCS.


3 Barra de herramientas de la ventana. A continuación se muestra la descripción decada elemento:

Ícono FunciónPermite crear una factory.

NOTA: la función está activada solo si el usuario tiene autorizaciónCreación de factory. Una factory también puede crearse en elnivel target, consulte "Página de la operation" en la páginaprecedente .

4 Lista de targets:

target abierto

target cerrado

5 Datos de un target seleccionado.


Para obtener más informaciónPara ver las descripciones de los elementos de la interfaz Consulte "Elementos y accionescomunes de la interfaz" en la página 12 .



Para obtener más información sobre las operations consulte "Qué debería saber acerca de lasoperations" en la página 20 .Para obtener más información sobre las factoriesconsulte "Qué debería saber acerca de lasfactories y los agents" en la página 31 .Para ver una descripción de los datos en esta ventana consulte "Datos de la página de laoperation" abajo .Para administrar rápidamente los datos de la operation consulte "Asistentes en la páginaprincipal" en la página 10 .

Crear una factoryPara crear una factory:

Paso Acción

1 l Haga clic en Nueva factory: aparecerán los campos para ingresar datos.l Escriba el nombre y la descripción, y seleccione el tipo de dispositivo en Tipo.

2 Haga clic en Guardar: aparecerá la nueva factory con el nombre seleccionado en elárea de trabajo principal.

Datos de la página de la operationA continuación se describen los datos del target seleccionado:

Datos Descripción

Nombre Nombre del target.

Descripción Descripción del usuario

Estado Define el estado del target:

Abierto. Si el técnico instala los agents correctamente, RCS recibirá laevidence recopilada.

Cerrado. Cerrado, ya no se podrá volver a abrir.

RCS9.5 - Crear una factory


3Targets

Presentación

Introducción

Un target es una persona física a quien se va a monitorear. Se pueden utilizar varios agents, unopor cada dispositivo de propiedad del target.

Contenido


Página del target 26Datos de la página del target 29Qué debería saber acerca de las factories y los agents 31Compilación de una factory 33


Página del target

Para abrir un target l En la sección Operations, haga doble clic en una operation y en un target


l administrar factories que, al compilarse, se convierten en agents que se instalan en el dis-positivo del target.

l abrir una factory para una configuración básica (consulte "Configuración básica de una fac-tory o un agent" en la página 50 ) o configuración avanzada (consulte "Configuración avan-zada de una factory o un agent" en la página 60 )

l importar evidence del targetl abrir un agent instaladol actualizar el software del agent


Área Descripción

1 Menú de RCS.


RCS9.5 - Página del target


Área Descripción


NOTA: el botón muestra los elementos en una lista con sus datos.

Ícono FunciónPermite crear una factory.

NOTA: la función está activada solo si el usuario tiene autorizaciónCreación de factory.Una factory también puede ser creada a nivel de operation,consulteconsulte "Página de la operation" en la página 22 .

Permite editar una factory o agent.

Eliminar una factory o agent

Cierra un agent o factory.

Cambia la factory o agent a un nuevo target.

Actualiza el software de todos los agents a la última versión recibida delservicio técnico de HackingTeam

PRECAUCIÓN: la actualización no modificará la configuración quese transmitirá al agent en la siguiente sincronización.

IMPORTANTE: para Android, se requieren privilegios raíz paraactualizar el agent. Consulte "Qué debería saber acerca deAndroid" en la página 156 .

Importa la evidence del target recopilada físicamente en el dispositivo.NOTA: la función solo se activa si el usuario tiene autorizaciónImportar evidence.

RCS9.5 - Cómo se ve la función


Área Descripción

4 Íconos/lista de factories creadas y agents instalados.

: agent en modo de demostración.

: agent scout esperando verificación.

: agent soldier instalado.

: agent elite instalado.

5 Datos de la factory o agent seleccionado.


Para obtener más informaciónPara ver las descripciones de los elementos de la interfaz Consulte "Elementos y accionescomunes de la interfaz" en la página 12 .Para ver una descripción de los datos en esta ventana consulte "Datos de la página del target" enla página opuesta .Para obtener más información sobre los targets consulte "Qué debería saber acerca de lasfactories y los agents" en la página 31Para administrar rápidamente los datos del target, consulte "Asistentes en la página principal" enla página 10 .

Crear una factoryPara crear una factory:

Paso Acción

1 l Haga clic en Nueva factory: aparecerán los campos para ingresar datos.l Escriba el nombre y la descripción, y seleccione el tipo de dispositivo en Tipo.

2 Haga clic en Guardar: aparecerá la nueva factory con el nombre seleccionado en elárea de trabajo principal.

Cerrar una factory o agentPara cerrar una factory o agent:



Paso Acción

1 Seleccione una factory o agent y haga clic en Cerrar.

2 Confirme el cierre.PRECAUCIÓN: el cierre de un agent es irreversible. Este se desinstalará enla siguiente sincronización. Al cerrar una factory, se vuelve inaccesible. Losagents activos permanecen accesibles, mientras que todos los agents queno hayan sido sincronizados al menos una vez antes del cierre de la factoryse desinstalarán.

Eliminar una factory o agentPara eliminar una factory o agent:

Paso Acción

1 Seleccione una factory o agent y haga clic en Eliminar.Confirme la acción: se eliminarán los registros, las opciones de configuración y laevidence.

PRECAUCIÓN: esta operation es irreversible.

Importar evidence del targetPara importar evidence:

Paso Acción

1 Haga clic en Importar evidence: se abrirá la ventana de importación.Haga clic en Seleccionar carpeta y seleccione la carpeta donde se encuentra elarchivo offline.ini.

2 Haga clic en Importar : la evidence se guardará en la base de datos y estarádisponible para que el analista la vea.

Datos de la página del target

Para ver los datos dela página:

l En la sección Operations , haga doble clic en una operation, luego en un target y luegohaga clic en Vista de íconos o Vista en tablas

Los elementos de la página se pueden ver como íconos o como una tabla.

RCS9.5 - Eliminar una factory o agent


Vista de íconosLos íconos se describen a continuación:

Datos Descripción

Factory de tipo escritorio en estado Abierto.

Ejemplo de agent scout instalado en un dispositivo de escritorio de Windows, enestado abierto.Ejemplo de agent soldier instalado en un dispositivo de escritorio con Windows, enestado abierto.

Ejemplo de agent elite instalado en un dispositivo de escritorio con Windows, enestado abierto.

NOTA: los íconos de color gris claro corresponden a factories y agents cerrados. Este es

el ícono de un agent móvil para Android en estado cerrado: .

NOTA: los íconos de color gris claro corresponden a agents cerrados. Este es el ícono de

un agent móvil para Android en estado cerrado: .

Vista de TablaA continuación se describen los datos:

Datos Descripción

Nombre Nombre de la factory o agent.

Descripción Descripción de la factory o agent

Estado Open : una factory abierta se puede compilar para crear agents. Es posibleinstalar un agent abierto, que se ejecuta y recopila evidence.Closed: una factory o agent cerrado no se puede volver a abrir. Los datos enRCS se podrán consultar más adelante.

Tipo De tipo escritorio o móvil.

Nivel (solo para los agents) Nivel del agent: scout, soldier, elite.Plataforma (solo para los agents) Sistema operativo en la que se instala el agent.

Versión (solo para los agents) Versión del agent. Se crea una nueva versión cada vezque se crea una nueva configuración.

RCS9.5 - Vista de íconos


Datos Descripción

Últimasincronización

(solo para los agents) Fecha y hora de la última sincronización del agent.

Ident (solo para los agents) Identificación unívoca de un agent.

Instancia (solo para los agents) Identificación unívoca del dispositivo donde está instaladoel agent.

Qué debería saber acerca de las factories y los agents

Métodos de infecciónUn dispositivo puede ser infectado de las siguientes maneras:

l infección física: el dispositivo es infectado mediante la ejecución de un archivo trans-mitido por medio de memorias USB, CD o documentos. La evidence se puede recopilar físi-camente o a través de Internet, en el momento en el que el dispositivo se conecta.

l infección remota: el dispositivo es infectado mediante la ejecución de un archivo trans-ferido a través de una conexión a Internet, o que puede estar disponible en un recursoweb La evidence se puede recopilar físicamente o a través de Internet, en el momento enel que el dispositivo se conecta. La infección remota puede mejorarse a través de unNetwork Injector.

Componentes de la estrategia de infecciónComponentes necesarios para una infección correcta:

l Factory: modelo del agent.l Vectores de instalación: canales de infección.l Agent: el software que se debe instalar en el dispositivo de target.l Target y operation: se definen cuando el administrador del sistema abre investigaciones.

Consulte el Manual del administrador del sistema.l Evidence: los tipos de registros a recopilar

FactoriesLa factory es un modelo que se usa para crear los agents que se instalarán. El ícono varía deacuerdo con el tipo de dispositivo en el que se instalará el agent:

l : factory para un agent de escritorio

l : factory para un agent móvil

En la factory se debe establecer lo siguiente:

RCS9.5 - Qué debería saber acerca de las factories y los agents


l los datos que se obtendrán (configuración básica) o losmódulos que se activarán diná-micamente (configuración avanzada)

l vectores de instalación (p. ej.: CD, Exploit, Network Injector)

Sugerencia: se pueden guardar las opciones de configuración como plantilla paracargarlas la próxima vez que cree un agent similar.

Sugerencia: una factory se puede usar para crear varios agents; por ejemplo, parainstalarla mediante diferentes vectores de instalación (p. ej.: dos computadoras condiferentes sistemas operativos).

Cómo crear factoriesLas factories son plantillas que se pueden crear en dos niveles jerárquicos diferentes deoperation-target-agent:

l en el nivel operation: la factory, después de la instalación y la primera sincronización, creaautomáticamente un agent y un target para cada dispositivo

l en el nivel target: la factory, después de la instalación y la primera sincronización, creaautomáticamente un agent para ese target

El modo nivel de operation asegura que la evidence recopilada se asigne por separado. De hecho,crea tantos agents como dispositivos existentes. Luego, si dos o más dispositivos pertenecen almismo target, el agent se puede mover hacia el target correcto.El modo nivel de target, si se usa correctamente, puede crear una factory que sirve para crearvarios agents.

Vectores de instalaciónLos vectores de instalación se seleccionan cuando se compila y define el método de instalación,física o remota, para un agent. Al realizarse la compilación, los vectores de instalación disponiblespueden variar según el sistema operativo del dispositivo.Se pueden usar varios vectores de instalación para el mismo agent.

NOTA: las reglas de inyección se usan para la inyección de conexiones HTTP.Consulte"Administración de los Network Injector" en la página 68 .

AgentsUn agent es el resultado de la compilación de una factory con uno o más vectores de instalación.Un agent está listo para ser instalado en un dispositivo.En la configuración básica se define el tipo de datos a recopilar, mientras que la configuraciónavanzada le permite activar o desactivar módulos de una manera dinámica e independiente.Para ver los tipos de módulos disponibles en las configuraciones básica y avanzada consulte "Listade módulos" en la página 141

RCS9.5 - Cómo crear factories


Para obtener más información sobre los agents consulte "Qué debería saber acerca de los agents"en la página 37 .

Módulos de obtención de datosLos módulos activan algunas actividades en el dispositivo del target; principalmente la obtenciónde datos. Se activan y establecen en la configuración básica (solo en algunos casos) o en laconfiguración avanzada.Los tipos de módulos disponibles también dependen del tipo de dispositivo.Para ver una lista completa consulte "Lista de módulos" en la página 141 .

Compilación de una factory

Para compilar una fac-tory:

l En la sección Operations, haga doble clic en una operation, luego en un target, en una fac-tory y por último haga clic en Crear

l En la sección Operations, haga doble clic en una operation, luego en un target, en una fac-tory y por último haga clic en Config. avanzada, Crear

PropósitoEsta función le permite crear uno o más agents (reales o para probarlos en modo dedemostración) dependiendo de los vectores de instalación elegidos y de las plataformas elegidas.

NOTA: para ver una descripción detallada de cada vector de instalación consulte "Listade vectores de instalación" en la página 155

NOTA: la función solo se activa si el usuario tiene autorización Creación de vectores deinfección.

Próximos pasosLa creación implica la instalación subsecuente en el dispositivo de un target.

Cómo se ve la funciónAsí es como se muestra la página para el agent de escritorio:

RCS9.5 -Módulos de obtención de datos


Área Descripción

1 Cuadro de búsqueda del vector de instalación y de la plataforma.

2 Vista del árbol de vectores y plataformas.

3 Área de configuración de las opciones de compilación para el vector elegido.

Para obtener más informaciónPara ver las descripciones de los elementos de la interfaz Consulte "Elementos y accionescomunes de la interfaz" en la página 12 .Para obtener más información sobre las factories consulte "Qué debería saber acerca de lasfactories y los agents" en la página 31 .Para ver una descripción detallada de cada vector de instalación consulte "Lista de vectores deinstalación" en la página 155

Crear un agentPara crear un agent:



Paso Acción

1 Seleccione uno o más vectores de instalación y establezca las opciones.

2 Haga clic en Crear : se creará y descargará un archivo ZIP o ISO en la carpetaDescarga de RCS, que está listo para ser instalado en el dispositivo.

Creación de un agent que se probará en el modo de demostración

IMPORTANTE: utilice esta opción solamente para realizar pruebas en dispositivosinternos. Los agents en modo de demostración no son invisibles y la instalación deRCS no quedará oculta.

Para crear un agent para propósitos de prueba:

Paso Acción

1 Seleccione uno o más vectores de instalación y establezca las opciones.

2 Seleccione el cuadro de verificaciónModo de demostración.

3 Haga clic en Crear ; el agent instalado en el dispositivo mostrará su presencia conseñales de audio y mensajes en pantalla.

RCS9.5 - Creación de un agent que se probará en el modo de demostración


4Agents

Presentación

Introducción

Los agents obtienen datos del dispositivo en el que están instalados y los envían a los Collectors deRCS. Su configuración y software pueden actualizarse y transferir archivos que el target no notó.

Contenido


Qué debería saber acerca de los agents 37Página del agent 40Datos del registro de configuración de un agent 42Datos de registro de los eventos de un agent 43Datos del registro de sincronización de un agent 43Página de comandos 44Transferencia de archivos hacia y desde el target 45


Qué debería saber acerca de los agents

IntroducciónEl agent puede quedar expuesto y ser identificado si se instala en entornos con antivirus o que sonadministrados por técnicos expertos.Para evitar que esto ocurra, se incluyeron tres niveles diferentes de agents:

l scoutl soldierl elite

El agent scout es un reemplazo del agent enviado al comienzo de la fase de instalación paraanalizar el nivel de seguridad del dispositivo del target.El agent soldier y el agent elite son agents reales. El agent soldier se instala en entornos que noson completamente seguros y por lo tanto permiten recopilar algunos tipos de evidence. El agentelite se instala en entornos seguros y puede recopilar todos los tipos de evidence disponible.

Proceso de instalación de agents

Fase Descripción

1 El técnico instala el agent scout en el dispositivo del target.

2 El agent scout recopila evidence del dispositivo para verificar el nivel de seguridad.

3 El técnico actualiza el agent:

Si el entorno es... Entonces...

seguro el sistema instala el agent elite.

no completamente seguro el sistema instala el agent soldier.

inseguro el agent no puede ser actualizado.

Íconos de agentsEl ícono del agent proporciona la siguiente información:

l nivel (scout, soldier, elite)l tipo de dispositivo (de escritorio o móvil)l sistema operativo donde está instalado

A continuación se muestran los íconos de los tres niveles de agents, por ejemplo, para undispositivo de escritorio con Windows:

RCS9.5 - Qué debería saber acerca de los agents


l : scout

l : soldier

l : elite

Agent scoutUna vez instalado, el agent scout aparece en la página del target después de la primerasincronización.El agent scout obtiene evidence:

l de tipo Screenshot: sirve para identificar al dispositivo del targetl de tipo Device: permite saber si el entorno que se va a infectar es tranquilo o si existen

aplicaciones que podrían comprometer la integridad del agent.

IMPORTANTE: la evidence de tipo Screenshot solo se recopila si el módulo estáactivado en la configuración. Si es necesario, recuerde activarlo antes de enviar elagent.

Agent soldierEl agent soldier le permite recopilar evidence definida por medio de los módulos de configuraciónbásica, excepto para los módulos Call y Accessed file.

IMPORTANTE: la configuración avanzada no está activada para los agents soldier.

Sugerencia: una vez que se instale el agent soldier, verifique la configuración definida enla fase inicial para asegurarse de que cumple con las necesidades de la investigación ylas características del agent.

Agent eliteEl agent elite le permite recopilar todos los tipos de evidence por medio de la configuraciónbásica y la avanzada

Sincronización de agentsUn agent se sincronizará solo si:

l la sincronización está activada en la configuración básical una acción de tipo Synchronize se agregó a la configuración avanzada.

RCS9.5 - Agent scout


Agents en línea y sin conexiónUn agent se comporta de manera diferente de acuerdo con la disponibilidad de una conexión aInternet:

Si la cone-xión aInternet...

Entonces...

no estádisponible

si el agent tiene módulos activados, comienza a registrar datos en el dispositivo.

está dis-ponible

si el agent efectuó la primera sincronización, es posible:l cambiar la configuración, por ejemplo, a medida que las solicitudes de regis-

tro se vuelvan más específicas para ese dispositivo. Si se cambia la con-figuración de un agent, la configuración de la factory no cambiará

l actualizar el softwarel transferir archivos hacia y desde el dispositivol analizar la evidence enviada.

Sugerencia: comience con la creación de un agent y active solo lasincronización y el módulo del dispositivo. Posteriormente, una vezinstalado, y después de recibir la primera sincronización, activegradualmente otros módulos, de acuerdo con la capacidad del dispositivo yel tipo de evidence que desea recopilar.

Desactive temporalmente un agentLas actividades del agent pueden suspenderse temporalmente sin desinstalar el agent. Para ellosimplemente desactive todos los módulos y deje solo la sincronización activa.

Prueba de un agentPara probar la configuración antes del uso de la producción, cree un agent en modo dedemostración (consulte "Compilación de una factory" en la página 33 ).El agent se crea en modo demostración , se comporta de acuerdo con la configuraciónespecificada, con la única diferencia de que señala su presencia con audio, LED y mensajes enpantalla. Ese señalamiento permite la identificación fácil de un dispositivo infectado que se usapara prueba.

NOTA: en caso de que no se reciba evidence de un agent en modo de demostración, estopuede ocurrir debido a un error en la configuración del servidor o a que no es posibleconectarse a la dirección del Collector establecido (p. ej.: debido a problemas deconfiguración de la red).

RCS9.5 - Agents en línea y sin conexión


Configuración de agentsEs posible cambiar la configuración de los agents (básica o avanzada) varias veces. Al guardar, secrea una copia de la configuración que posteriormente se guarda en el registro de configuración.En la siguiente sincronización, el agent recibirá la nueva configuración (Hora de envío ) ycomunicará la instalación correcta (Activado). A partir de ese momento, cualquier cambio solopodrá realizarse guardando una nueva configuración.

NOTA: si los valores Hora de envío y Activado no tienen ningún valor asignado, aún sepodrá hacer cambios en la configuración actual.

Para ver una descripción del registro de configuración de los agents consulte "Datos del registrode configuración de un agent" en la página 42 .

Página del agent

Para administraragents:

l En la sección Operations, haga doble clic en una operation, luego en un target y luego en unagent


l verificar el registro de configuración de los agents y ver los detalles de cada con-figuración.

l transferir archivos hacia y desde el dispositivo del targetl importar y exportar la evidence de un agentl reemplazar el agent scout por un agent real (elite o soldier) y actualizar el software del

agentl mostrar los comandos ejecutados por el agentl mostrar el historial de sincronización del agent


RCS9.5 - Configuración de agents


Área Descripción

1 Menú de RCS.


3 Barra de herramientas de la ventana.A continuación se muestra la descripción de cada elemento:

Ícono DescripciónEnvía el agent real (elite o soldier) al agent scout o actualiza el software delagent con la última versión que recibió de HackingTeam.

PRECAUCIÓN: la actualización no modificará la configuración quese transmitirá al agent en la siguiente sincronización.

IMPORTANTE: para Android, se requieren privilegios raíz paraactualizar el agent. Consulte "Qué debería saber acerca deAndroid" en la página 156 .

Elimina la evidence en el dispositivo que aún no se transmitió a RCS.Parámetros:

l Fecha: elimina la evidence guardada antes de la fecha especificada.l Dimensión: elimina la evidence con un tamaño mayor al espe-

cificado.



Área Descripción

4 Posibles acciones en el agent. A continuación se muestra la descripción de cadaelemento:

Ícono DescripciónMuestra el registro de configuración del agent, lo cual permite editar yguardar las configuraciones anteriores y la actual como una configuraciónnueva. Consulte "Datos del registro de configuración de un agent" abajo .

Muestra el registro de eventos del agent (información). Consulte "Datos deregistro de los eventos de un agent" en la página siguiente .

Muestra los resultados de los comandos ejecutados en el dispositivomediante las acciones Execute . Consulte "Página de comandos" en lapágina 44 .

Muestra el registro de sincronización del agent. Consulte "Datos delregistro de sincronización de un agent" en la página siguiente .

Abre la función para cargar o descargar archivos desde el dispositivo deltarget. Consulte "Transferencia de archivos hacia y desde el target" en lapágina 45 .

5 Detalles del agent.


Para obtener más informaciónPara ver las descripciones de los elementos de la interfaz Consulte "Elementos y accionescomunes de la interfaz" en la página 12 .Para obtener más información sobre los agents consulte "Qué debería saber acerca de los agents"en la página 37 .

Datos del registro de configuración de un agentA continuación se muestra la descripción de cada elemento:

Campo Descripción

Descripción Descripción de la configuración hecha por el usuario.

Usuario Nombre del usuario que creó la configuración.

Guardada Fecha en que se guardó la configuración.



Campo Descripción

Hora de envío Fecha en que se envió la configuración por medio de una sincronización.ADVERTENCIA: si este valor es nulo, el agent aún no recibió laconfiguración.

Activado Fecha de instalación de la nueva configuración en el agent.

Datos de registro de los eventos de un agentA continuación se muestra la descripción de cada elemento:

Campo Descripción

Obtención Fecha y hora del evento obtenido en el dispositivo.Puede filtrarse. Últimas 24 horas es el valor predeterminado.

Recepción Fecha y hora del evento registrado en RCS.Puede filtrarse. Últimas 24 horas es el valor predeterminado.

Contenido Información de estado enviada por el agent.

Datos del registro de sincronización de un agentA continuación se muestra la descripción de cada elemento:

Campo Descripción

Fin de sin-cronización

Fecha y hora en que terminó la sincronización.Puede filtrarse. Últimas 24 horas es el valor predeterminado.

Inicio de sin-cronización

Fecha y hora en que se inició la sincronización.

IP Dirección IP usada para la sincronización.

Evidence Número de piezas de evidence que se transfirieron realmente en esa sin-cronización de la cantidad total de piezas de evidence que se deben transferir.

Tamaño El tamaño total de la evidence transferida.

Velocidad Velocidad de transferencia.

Expiró Indica que la sincronización expiró.

RCS9.5 - Datos de registro de los eventos de un agent


Página de comandos

Para administrarresultados de coman-dos:

l En la sección Operations, haga doble clic en una operation, luego en un target, en un agent yen Comandos


l verificar los resultados de los comandos ejecutados con la acción Execute establecida enel agent

l verificar los resultados del archivo ejecutable que se abre durante la transferencia dearchivos hacia o desde el agent

l ejecutar uno o más comandos en un agent


Área Descripción

1 Menú de RCS.


RCS9.5 - Página de comandos


Área Descripción

3 Barra de herramientas de la ventana.A continuación se muestra la descripción de cada elemento:

Ícono DescripciónPermite exportar el comando seleccionado a unarchivo .txt.

Muestra los detalles de los comandosseleccionados.

Abre una ventana para ingresar una o máscadenas de comandos. Todos los comandos seenvían al agent en la siguiente sincronización y losresultados se muestran la siguiente vez que sereciben datos.

NOTA: la función solo se activa si elusuario tiene autorización Ejecutarcomandos en un agent.

5 Lista de comandos basada en los filtros establecidos.


Para obtener más informaciónPara ver las descripciones de los elementos de la interfaz Consulte "Elementos y accionescomunes de la interfaz" en la página 12 .

Transferencia de archivos hacia y desde el target

Para transferir archivoshacia y desde el agent:

l En la sección Operations, haga doble clic en una operation, luego en un target, en unagent y en Transferencia de archivos

PropósitoPermite cargar y descargar archivos del dispositivo donde se instaló el agent.

Cómo se ve la funciónAsí es como se ve la función de transferencia de archivos hacia y desde el target:



Área Descripción

1 Menú de RCS.

2 Barra de navegación de la operation.


Ícono DescripciónPermite cargar un archivo al dispositivo, en la carpeta donde se instaló elagent. Cada carga exitosa se registra con la fecha y la hora, y el nombre dearchivo.

NOTA: la función solo se activa si el usuario tiene autorizaciónCargar archivo para agent.

Permite cargar un archivo ejecutable en la carpeta del dispositivo donde seinstaló el agent y ejecutarlo (usando Execute ). Los resultados de laejecución aparecen en la página Comandos . Consulte " Página decomandos" en la página 44 .Cada carga exitosa se registra con la fecha y la hora, y el nombre dearchivo.

IMPORTANTE: esta función puede inhibirse si el usuario notiene los permisos correspondientes o no está permitida segúnla licencia de usuario.

Permite exportar el registro de cargas.

Elimina la carga seleccionada. Se guardarán los resultados del comando eli-minado.



Área Descripción

4 Registro de carga, con barra de herramientas.


Ícono DescripciónPermite descargar un archivo desde un dispositivo. Se debe indicar elnombre del archivo y la ruta. Cada descarga exitosa se registra con elnombre del archivo completo con la ruta.El archivo se guarda en la carpeta Descarga de RCS en el escritorio.

Elimina el archivo seleccionado de la carpeta Descarga de RCS.

6 Registro de descarga, con barra de herramientas.


Para obtener más informaciónPara ver las descripciones de los elementos de la interfaz Consulte "Elementos y accionescomunes de la interfaz" en la página 12 .Para ver una descripción de los datos de los agents consulte "Página del agent" en la página 40 .



5Factory y agent: configuración básica

Presentación

Introducción

La configuración básica le permite agregar módulos de obtención de datos y de ejecución decomandos simples que no requieren una configuración compleja.

Contenido


Qué debería saber acerca de la configuración básica 49Configuración básica de una factory o un agent 50Datos de la configuración básica 53


Qué debería saber acerca de la configuración básica

Configuración básicaLa configuración básica de una factory o un agent le permite activar y establecer rápidamente losvalores para la obtención de evidence.La configuración básica no incluye la obtención de algunos tipos de evidence ni las opcionesdetalladas de los métodos de obtención.Configuración básica predeterminada:

l Obtención de información del sistema cuando el dispositivo está apagado (no se puede des-activar)

l Un módulo para la ejecución de la sincronización entre el agent y RCS cada cierto inter-valo de tiempo.

Para ver la lista de tipos de módulos disponibles en la configuración básica consulte "Datos de laconfiguración básica" en la página 53 .

PRECAUCIÓN: cuando vuelva a la configuración básica desde la avanzada, se perderá laconfiguración avanzada y se restaurará la configuración básica predeterminada.

Exportar e importar las opciones de configuraciónEs posible exportar o importar las opciones de configuración básica o avanzada para utilizarlas enotros sistemas RCS.Las opciones de configuración básica o avanzada se exportan a un archivo .json, que se puedetransferir a otro sistema e importar cuando se crea un agent.

Guardar la configuración como una plantillaLas opciones de configuración básica o avanzada se guardan como una plantilla para que otrosusuarios del mismo sistema RCS puedan volver a utilizarla.Las opciones de configuración básica o avanzada se guardan como plantilla en la base de datos,junto con una descripción y el nombre del usuario. Al crear otro target, otro usuario puedecargarla y usarla como la configuración de ese agent.

IMPORTANTE: las plantillas de configuración básica y avanzada se guardan porseparado en la base de datos. Las plantillas de configuración básica aparecen de estemodo al crear un agent con una configuración básica, y lo mismo ocurre con lasplantillas de configuración avanzada.

RCS9.5 - Qué debería saber acerca de la configuración básica


Configuración básica de una factory o un agent

Para configurar las opciones de lasfactories y los agents:

l En la sección Operations, haga doble clic en una operation, luego en un target yen una factory

l En la sección Operations, haga doble clic en una operation, luego en un target yen un agent


l configurar una factory o un agent para indicar si se requiere una sincronización en línea ydefinir los datos que se obtendrán

l abrir la función de compilación de una factory (consulte "Compilación de una factory" enla página 33 )

l abrir la función de configuración avanzada (consulte "Configuración avanzada de una fac-tory o un agent" en la página 60 )

NOTA: la función solo se activa si el usuario tiene autorización Configuración de agents.

Próximos pasosDespués de establecer la configuración de una factory, se debe compilar para poder obtener unagent.Después de cambiar la configuración del agent, simplemente guárdela. Si el agent está en línea,la nueva configuración se aplicará en la siguiente sincronización. De lo contrario, se requiere unainstalación física.


RCS9.5 - Configuración básica de una factory o un agent


Área Descripción

1 Menú de RCS.




Área Descripción


Ícono DescripciónCompila la configuración en uno o más agents que se instalarán en base alos vectores de instalación seleccionados. Consulte "Compilación de unafactory" en la página 33

Guardar la configuración: la configuración del agent se registra y se envíaal agent en la siguiente sincronización.Consulte "Datos del registro de configuración de un agent" en la página 42

Exporta la configuración a un formato de archivo .json.

Importa la configuración desde un formato de archivo .json.

Permite cargar la plantilla de configuración básica o guardar laconfiguración actual como plantilla.Consulte "Qué debería saber acerca de la configuración básica" en lapágina 49

Abre la ventana de configuración avanzada. Consulte " Configuraciónavanzada de una factory o un agent" en la página 60 .

PRECAUCIÓN: cuando vuelva a la configuración básica desde laavanzada, se perderá la configuración avanzada y se restaurará laconfiguración básica.

4 Lista de tipos de evidence disponibles y estado de activación relacionado.NOTA: la lista de módulos varía de acuerdo con el tipo de dispositivo.


Para obtener más informaciónPara ver las descripciones de los elementos de la interfaz Consulte "Elementos y accionescomunes de la interfaz" en la página 12 .Para obtener más información acerca de la configuración básica, consulte "Qué debería saberacerca de la configuración básica" en la página 49 .Para ver una descripción de los datos en esta ventana consulte "Datos de la configuración básica"en la página siguiente .



Para ver una lista de los módulos disponibles en las dos configuraciones consulte "Lista demódulos" en la página 141

Configurar una factory o un agentPara activar o desactivar la recopilación de evidence:

Paso Acción

1 l Haga clic en OFF para la evidence a obtener: el botón cambia a ON y lasopciones de configuración, cuando están disponibles, pueden establecerse.

2 l En Sincronización el línea deje ON si el dispositivo del target puede accedera Internet. Esto le permite establecer opciones gradualmente. Deje OFF si eldispositivo del target no puede acceder a Internet o si desea obtener evi-dence del target de forma manual.

l Haga clic en Guardar para guardar la configuración actual.

3 Continuar de modo diferente:

Si está con-figurando...

Entonces...

una factory haga clic en Crear para compilarla y obtener agents para lasdiferentes plataformas. Consulte "Compilación de una factory" enla página 33 .

un agent las opciones de configuración de un agent se actualizanautomáticamente en la siguiente sincronización.

Datos de la configuración básicaA continuación se muestran los tipos de evidence que pueden activarse en la configuración básicade una factory o un agent.

Grabación Descripción

Calls Graba llamadas.NOTA: no está disponible para los agents de nivel soldier.

Messages Registra mensajes.

RCS9.5 - Configurar una factory o un agent


Grabación Descripción

Accessed files (solo en computadoras de escritorio)Registra los documentos o imágenes que abrió el target.Documentos, imágenes: tipos de archivo.

NOTA: no está disponible para los agents de nivel soldier.

Screenshots Registra las ventanas abiertas en la pantalla del target.Imagen cada: intervalo de captura de imagen.

Position Registra la posición geográfica del target.Guardar la posición del target cada: intervalo de obtención de la posición.

Contacts &Calendar

Registra los contactos.

Visited websites Registra las direcciones URL de los sitios web visitados.

Keylog (solo dispositivos móviles) Registra las teclas presionadas.

Keylog, Mouse& Password

(solo computadoras de escritorio) Registra las teclas presionadas, lascontraseñas guardadas en el sistema y los clics hechos con el mouse.

Camera Graba imágenes de la cámara web.Capturar imagen cada: intervalo de obtención de imagen.por...veces: repeticiones de la obtención.

OnlineSynchronization

Activado de forma predeterminada. Si está activado, el agent se comunicacon el servidor para enviar datos y recibe nuevas configuraciones,actualizaciones, etc.Cada: intervalo de sincronizaciónminutos en : nombre o dirección IP del Anonymizer o del Collector. Elnombre o la dirección IP se pueden ingresar manualmente.

RCS9.5 - Datos de la configuración básica


6Factory y agent: configuración avanzada

Presentación

Introducción

La configuración avanzada le permite ajustar los parámetros de configuración avanzada. Ademásde activar la recopilación de evidence, los eventos pueden estar vinculados a las acciones, paraactivar reacciones específicas del agent y cambiar ciertas condiciones en el dispositivo (p. ej., seinicia el protector de pantalla). Las acciones pueden iniciar o detener los módulos y activar odesactivar otros eventos. Asimismo, todas las opciones de los eventos, acciones y módulos puedenestablecerse de forma individual.

Contenido


Qué debería saber acerca de la configuración avanzada 56Configuración avanzada de una factory o un agent 60Datos globales del agent 64


Qué debería saber acerca de la configuración avanzada

Configuración avanzadaLa configuración avanzada de una factory/agent le permite crear secuencias de activacióncomplejas utilizando una sola interfaz gráfica.El propósito de la secuencia es iniciar/detener la recopilación de evidence y/o ejecutar una accióncuando ocurre un evento.La configuración avanzada siempre incluye dos secuencias básicas:

l En cada sincronización (evento Loop), se obtiene información del dispositivo (acción Iniciarmódulo + módulo Dispositivo)

l Al final del intervalo de sincronización (el evento Timer-Loop), se ejecuta la sincronizaciónentre el agent y RCS (acción Synchronize)

A continuación se muestra una imagen que ilustra las dos secuencias básicas recomendadas parala obtención remota de datos:

NOTA: estas dos secuencias básicas se establecen de forma predeterminada y serecomiendan para el funcionamiento mínimo del agent.

Componentes de configuración avanzadaLos componentes de configuración avanzada son:

RCS9.5 - Qué debería saber acerca de la configuración avanzada


l los eventos que activan una acción (p. ej.: se recibe una llamada en el dispositivo)l las acciones que se ejecutan cuando ocurre un evento (p. ej.: se comienza a grabar la lla-

mada)l las subacciones que se ejecutan cuando ocurre un evento (p. ej.: se envían mensajes SMS

ocultos con la posición del dispositivo)l losmódulos que, al activarse por una acción, comienzan a recopilar la evidence deseada o

activan otras acciones en el dispositivo (p. ej.: grabación del audio de una llamada)l las secuencias que se usan para indicar un grupo de eventos, acciones, subacciones y

módulos.

NOTA: algunas opciones de eventos, acciones y módulos solo están disponibles en laconfiguración avanzada.

Lectura de secuenciasSe pueden leer secuencias complejas de esta forma:

l Cuando el dispositivo se conecta a la fuente de energía (evento)...l ...envía un SMS (subacción) y...l ...comienza a registrar la posición (acción que activa un módulo) y...l ...desactiva el evento que ocurre cuando se cambia la tarjeta SIM (acción que desactiva un

evento)l ...y así sucesivamente

Las posibles combinaciones de eventos, acciones, subacciones y módulos son infinitas. Acontinuación se detalla una explicación de las reglas de diseño correctas.

EventosLos eventos son monitoreados por el agent y pueden iniciar, repetir o terminar una acción.

NOTA: un evento no puede iniciar un módulo directamente.

Por ejemplo, un evento Window (ventana abierta en el dispositivo) puede activar una acción. Laacción entonces iniciará o detendrá un módulo.Hay varios tipos de eventos disponibles. Para ver una lista completa consulte "Lista de eventos" enla página 132 .La relación entre un evento y una o más acciones se representa por medio de un conector:

RCS9.5 - Lectura de secuencias


Relación entre even-tos y acciones

Descripción Conector

Start Inicia una acción cuando ocurre un evento.

Repeat Repite una acción. Se puede especificar el intervalo yel número de repeticiones.

End Inicia una acción cuando el evento termina.

NOTA: un evento puede manejar hasta tres acciones distintas simultáneamente. Laacción Start se activa cuando ocurre un evento en el dispositivo (p. ej.: el eventoStandby activa Start cuando el dispositivo ingresa en modo de espera). La acciónRepeat se activa en el intervalo establecido para toda la duración del evento. La acciónStop se activa cuando un evento termina (p. ej.: el evento StandBy activa End cuando eldispositivo sale del modo de espera).

AccionesLas acciones se activan cuando ocurre un evento. Pueden:

l iniciar o detener un módulol activar o desactivar un eventol ejecutar una subacción

Por ejemplo, una acción (vacía) puede desactivar el evento Process (iniciar un proceso delsistema) que lo activó y activar el módulo Position (registrar la posición GPS). En caso de sernecesario, la acción también puede ejecutar una subacción SMS (enviar un mensaje a un númerode teléfono especificado).Existen varias subacciones disponibles que se pueden combinar sin restricciones (p. ej.: ejecutarun comando + crear un mensaje de alert). Para ver una lista completa consulte "Lista desubacciones" en la página 125

Relaciones entre las acciones y los módulosUna acción puede influir en un módulo de diferentes formas. La relación entre una acción y uno omás módulos se representa por medio de un conector:

Relación entreacción y módulos


Start modules Inicia un módulo.

Stop modules Detiene un módulo.

Una acción puede iniciar o detener varios módulos simultáneamente.

RCS9.5 - Acciones


Relaciones entre las acciones y los eventosLa relación entre una acción y uno o más eventos se representa por medio de un conector:

Relación entreacción y eventos


Enable events Activa un evento.

Disable events Desactiva un evento.

NOTA: una acción puede activar o desactivar varios eventos simultáneamente.

MódulosCada módulo activa la recopilación de una evidence específica de un dispositivo del target. Unaacción puede iniciarlos o detenerlos y producen evidence.Por ejemplo, una acción activada por un evento Call (se hizo o se recibió una llamada) puedeiniciar un módulo Position (registra la posición GPS).Existen varios módulos disponibles que pueden iniciarse y detenerse (p. ej.: iniciar módulo deposición + detener módulo de imagen de pantalla). Para ver una lista completa consulte "Lista demódulos" en la página 141 .

Exportar e importar las opciones de configuraciónEs posible exportar o importar las opciones de configuración básica o avanzada para utilizarlas enotros sistemas RCS.Las opciones de configuración básica o avanzada se exportan a un archivo .json, que se puedetransferir a otro sistema e importar cuando se crea un agent.

Guardar la configuración como una plantillaLas opciones de configuración básica o avanzada se guardan como una plantilla para que otrosusuarios del mismo sistema RCS puedan volver a utilizarla.Las opciones de configuración básica o avanzada se guardan como plantilla en la base de datos,junto con una descripción y el nombre del usuario. Al crear otro target, otro usuario puedecargarla y usarla como la configuración de ese agent.

IMPORTANTE: las plantillas de configuración básica y avanzada se guardan porseparado en la base de datos. Las plantillas de configuración básica aparecen de estemodo al crear un agent con una configuración básica, y lo mismo ocurre con lasplantillas de configuración avanzada.

RCS9.5 - Relaciones entre las acciones y los eventos


Configuración avanzada de una factory o un agent

Para abrir la con-figuración avanzada:

l En la sección Operations, haga doble clic en una operation, luego en un target, en una fac-tory y por último haga clic en Config. avanzada

l En la sección Operations, haga doble clic en una operation, en un target, en un agent y hagaclic en Config. avanzada


l crear secuencias de activación de módulos activados por eventos que ocurren en el dis-positivo del target. Cada secuencia puede estar compuesta de una o más subacciones.

l Establecer las opciones generales de configuración de una factory o un agent.

NOTA: la función solo se activa si el usuario tiene autorización Configuración de agents.

NOTA: la configuración avanzada no está disponible para los agents de nivel soldier.

PRECAUCIÓN: cuando vuelva a la configuración básica desde la avanzada, se perderá laconfiguración avanzada y se restaurará la configuración básica predeterminada.

Próximos pasosPara una factory, después de completar su configuración, compile para que el agent seinstale.Consulte "Compilación de una factory" en la página 33Para un agent, después de completar su configuración, simplemente guarde la nuevaconfiguración. En la siguiente sincronización, la nueva configuración se enviará al agent.


RCS9.5 - Configuración avanzada de una factory o un agent


Área Descripción

1 Menú de RCS.




Área Descripción


Ícono DescripciónCompila la configuración en uno o más agents, en base a los vectores deinstalación seleccionados. Consulte "Compilación de una factory " en lapágina 33

Guarda la configuración actual.

Exporta la configuración a un formato de archivo .json.

Importa la configuración desde un formato de archivo .json.

Permite cargar la plantilla de configuración avanzada o guarda laconfiguración actual como plantilla.Consulte "Qué debería saber acerca de la configuración avanzada" en lapágina 56 .

Permite agregar un evento.

Permite agregar una acción.

Permite edita el evento o la acción seleccionada.

Elimina el evento, acción o conexión lógica.

Edita los datos globales del agent consulte "Datos globales del agent" en lapágina 64 .

PRECAUCIÓN: cuando regresa a la configuración básica se pierdentodos los datos.

Contrae o expande los widgets de las acciones o eventos para para poderver mejor la configuración actual.

4 Área de eventos. Los eventos STARTUP y SYNC son predeterminados.

5 Área de acciones. Las acciones STARTUP y SYNC son predeterminadas.

6 Área de módulos. Los módulos cambian en base al dispositivo de escritorio o móvil.




Para obtener más informaciónPara ver las descripciones de los elementos de la interfaz Consulte "Elementos y accionescomunes de la interfaz" en la página 12 .Para obtener más información acerca de la configuración avanzada, consulte "Qué debería saberacerca de la configuración avanzada" en la página 56 .

Creación de una secuencia de activación simplePara crear una secuencia simple o recopilar evidence cuando ocurre un evento:

Paso Acción

1 Crear un evento:l Haga clic en Agregar evento: se abrirá la ventana de selección y con-

figuración del evento.l En Tipo, seleccione el tipo de evento y establezca las opciones. Consulte

"Lista de eventos" en la página 132l Haga clic en Guardar: el nuevo evento se agregará al área de trabajo

2 Crear una acción:l Haga clic en Agregar acción: la acción vacía se agregará al área de trabajo

3 Vincule el evento a la acción, luego vincule la acción al módulo deseado:l Haga clic en el punto de conexión Start del evento, luego arrastre la flecha a

la acciónl Haga clic en el punto de conexión Start modules, luego arrastre la flecha al

tipo de datos que desea obtener.Consulte "Lista de módulos" en la página 141.

4 Haga clic en Guardar : la configuración está lista para ser compilada (si es unafactory) o transmitida al dispositivo en la siguiente sincronización (si es un agent).

Crear una secuencia de activación complejaPara crear una secuencia compleja, o bien, cuando ocurre un evento, para comenzar a recopilarevidence, ejecutar una subacción y activar o desactivar un evento:



Paso Acción

1 Crear un evento:l Haga clic en Agregar evento: se abrirá la ventana de selección y con-

figuración del evento.l En Tipo, seleccione el tipo de evento y establezca las opciones. Consulte

"Lista de eventos" en la página 132l Haga clic en Guardar: el nuevo evento se agregará al área de trabajo

2 Crear una acción y definir las subacciones:l Haga clic en Agregar acción: la acción vacía se agregará al área de trabajol Haga doble clic en la acción, agregue la subacción en Subacción y configure

las opciones. Consulte "Lista de subacciones" en la página 125 .

3 Conectar el evento a la acción:l Haga clic en uno de los puntos de conexión Start, Repeat, End del evento,

luego arrastre la flecha a la acción

4 Conectar la acción al módulo:l Haga clic en los puntos de conexión Start modules, Stop modules de la

acción, luego arrastre la flecha al módulo que desea iniciar o detener. Con-sulte "Lista de módulos" en la página 141 .

Sugerencia: Arrastre varias flechas si se deben activar varios módulos.

Para una acción que requiere un evento para activarse o desactivarse:l Haga clic en los puntos de conexión Enable events o Disable events en la

acción, luego arrastre la flecha a los eventos que desea activar o desactivar.

5 Haga clic en Guardar : la configuración está lista para ser compilada (si es unafactory) o transmitida al dispositivo en la siguiente sincronización (si es un agent).

Datos globales del agentA continuación se muestran los datos globales del agent:

RCS9.5 - Datos globales del agent


Campo Descripción

Mínimo espa-cio en el disco

Espacio libre mínimo en el disco del dispositivo.

Tamañomáximo de laevidence

Espacio máximo ocupado por la evidence en el dispositivo del target, hasta lasiguiente sincronización. De manera predeterminada: 1 GB.Cuando se alcanza ese límite, el agent deja de grabar y espera la siguientesincronización. Si no ocurre ninguna sincronización, no se obtiene másevidence.

Eliminaciónsegura de unagent

Si está activado, elimina los archivos generados por el agent. En caso de unanálisis forense, no quedará ningún rastro del agent.

NOTA: este método demora más en completarse que unaeliminación normal de archivos.

Eliminación deun controlador

Elimina el controlador al desinstalar.

Mostrar Llamada al servicio: solo se utiliza cuando el servicio de soportetécnico de HackingTeam lo solicita.

Máscara Llamada al servicio: solo se utiliza cuando el servicio de soportetécnico de HackingTeam lo solicita.

RCS9.5 - Datos globales del agent


7El Network Injector

Presentación

Introducción

El Network Injector le permite interceptar las conexiones HTTP del target e inyectar a un agent enel dispositivo.

Contenido


Qué debería saber acerca del Network Injector y sus reglas 67Administración de los Network Injector 68Datos de la regla de inyección 71Verifique el estado del Network Injector 77Qué debería saber acerca de Appliance Control Center 77Qué debería saber acerca de Tactical Control Center 80Qué debería saber acerca de la identificación de contraseñas de redes Wi-Fi 85Qué debería saber acerca del desbloqueo de las contraseñas del sistema operativo 86Qué debería saber acerca del acceso remoto al Control Center 87Comandos de Tactical Control Center y Appliance Control Center 89Appliance Control Center 90Datos de Appliance Control Center 97Tactical Control Center 98Datos del Tactical Control Center 115Otras aplicaciones instaladas en Network Injectors 118


Qué debería saber acerca del Network Injector y sus reglas

IntroducciónNetwork Injector monitorea todas las conexiones HTTP y, siguiendo las reglas de inyección,identifica las conexiones del target e inyecta el agent en las conexiones, vinculándolo a losrecursos que el target está descargando de Internet.

Tipos de Network InjectorsExisten dos tipos de Network Injector:

l Appliance: servidor de red para instalaciones en un segmento interno al conmutador en unproveedor de servicios de Internet.

l Tactical: computadora portátil para instalaciones tácticas en redes Wi-Fi o LAN, y para des-bloquear la contraseña del sistema operativo para infecciones físicas (ej.: a través deSilent Installer)

Ambos Network Injectors le permiten identificar automáticamente los dispositivos del target einfectarlos de acuerdo con las reglas establecidas a través del software de control (ApplianceControl Center o Tactical Control Center). Tactical Network Injectors también permite realizaruna identificación manual. Consulte "Qué debería saber acerca de Appliance Control Center" enla página 77 , "Qué debería saber acerca de Tactical Control Center" en la página 80 .

Tipos de recursos que pueden ser infectadosLos recursos que RCS puede infectar son archivos de cualquier tipo.

NOTA: Network Injector no puede monitorear conexiones FTP o HTTPS.

Cómo crear una reglaPara crear una regla:

1. defina la forma de identificar las conexiones del target. Por ejemplo, comparando ladirección IP o MAC del target. O deje que el operador de Tactical Network Injector selec-cione el dispositivo.

2. defina la forma de infectar al target. Por ejemplo, reemplazando un archivo que el targetestá descargando desde Internet o infectando un sitio web que el target usualmentevisita.

RCS9.5 - Qué debería saber acerca del Network Injector y sus reglas


Reglas de identificación automática o manualSi se conoce alguna información de los dispositivos del target, se pueden crear varias reglas,adaptarlas a los diferentes hábitos del target, luego activar las reglas más eficientes de acuerdocon las situaciones que surjan durante un momento particular de la investigación.Si no se conoce ninguna información sobre los dispositivos del target, use el Tactical NetworkInjector, el cual les permitirá a los operadores observar el target, identificar el dispositivo usado einfectarlo.TACTICAL debe ser el valor en el campo Patrón de la regla de inyección para este tipo de controlmanual.

Qué sucede cuando una regla está activada/desactivadaRCS se comunica regularmente con el Network Injector para enviarle las reglas y obtenerregistros. Todas las reglas activadas en RCS Console se envían automáticamente a los NetworkInjectors. Las reglas desactivada se guardarán, pero no se enviarán ni estarán disponible en lasiguiente sincronización.Seleccione una de las reglas disponibles para activar una inyección específica en un NetworkInjector.

Inicio de la infecciónDespués de que Network Injector recibe las reglas de infección, está listo para iniciar un ataque.Durante la fase de análisis de paquetes, verifica si alguno de los dispositivos en la red cumple conlas reglas de identificación. En ese caso, envía al agent al dispositivo identificado y lo infecta.

Administración de los Network Injector

Para administrar los Network Injec-tors:

l Sección System, Network Injectors

PropósitoCuando RCS está en funcionamiento, esta función le permite crear reglas de inyección y enviarlasal Network Injector.

NOTA: la función está activada solo si el usuario tiene autorización Administración deredes de Network Injector.

Qué puede hacerCon esta función usted puede:

RCS9.5 - Reglas de identificación automática o manual


l crear una regla de inyección de un agent en un targetl enviar las reglas al Network Injector


Área Descripción

1 Menú de RCS.

2 Menú System.

3 Barra de herramientas del Network Injector.

4 Lista de Network Injectors.



Área Descripción

5 Barra de herramientas de inyección.A continuación se muestra la descripción de cada elemento:

Acción DescripciónAgrega una regla nueva.

Copia la regla de conexión.

Abre la ventana con los datos de la regla.

Elimina la regla de conexión.

Envía reglas al Network Injector seleccionado.Appliance actualiza automáticamente lasiguiente sincronización siempre que haya unproceso de infección activo. Mientras que conTactical es el operador quien decide si las reglasdeben actualizarse o no.

6 Lista de reglas del Network Injector seleccionado

7 Barra de estado de RCS. .

Para obtener más informaciónPara ver las descripciones de los elementos de la interfaz Consulte "Elementos y accionescomunes de la interfaz" en la página 12 .Para ver una descripción de los datos de las reglas de inyección consulte "Datos de la regla deinyección" en la página siguiente .Para obtener más información en las reglas de inyección consulte "Qué debería saber acerca delNetwork Injector y sus reglas" en la página 67 .

Agregar una nueva regla de inyecciónPara agregar una nueva regla:



Paso Acción

1 Seleccione el Network Injector para la nueva regla: se mostrarán los comandos dereglas y la tabla.

2 l Haga clic en Nueva regla: aparecerán los campos para ingresar datos.l Ingrese los datos solicitados. Si la regla está activada, se puede enviar al

Network Injector. Consulte "Datos de la regla de inyección" abajo .l Haga clic en Guardar: aparecerá la nueva regla en el área de trabajo prin-

cipal.

Enviar las reglas al Network InjectorPara enviar las reglas al Network Injector:

Paso Acción

1 Active la regla que se enviará al Network Injector. Para eso seleccione el cuadro deverificación En en la tabla.

2 Haga clic en Apply rules: RCS recibe la solicitud para enviar las reglas al NetworkInjector seleccionado. La barra de progreso en el área de descarga muestra elprogreso de la operation.

NOTA: Network Injector solo recibe las reglas actualizadas cuando sesincroniza con RCS server. Consulte "Verifique el estado del NetworkInjector" en la página 77 .

Datos de la regla de inyecciónA continuación se describen los datos que definen las regla de infección disponibles:

Datos Descripción

Activado Si está seleccionado, la regla será enviada al Network Injector.Si no está seleccionado, la regla se guardará pero no será enviada.

Deshabilitaralsincronizar

Si está seleccionado, la regla se desactiva después de la primera sincronizacióndel agent definido en la regla.Si no está seleccionado, el Network Injector continúa aplicando la regla, aundespués de la primera sincronización.

RCS9.5 - Enviar las reglas al Network Injector


Datos Descripción

Probabilidad Probabilidad (en porcentaje) de aplicar la regla después del primer recursoinfectado.0 %: después de infectar el primer recurso, el Network Injector ya no aplicaráesta regla.100 % : después de infectar el primer recurso, el Network Injector siempreaplicará esta regla.

Sugerencia: si se selecciona un valor mayor a 50 %, le recomendamosusar la opción Desactivar al sincronizar.

Target Nombre del target que se va a infectar.

RCS9.5 - Datos de la regla de inyección


Datos Descripción

Ident Método de identificación de la conexión HTTP del target.NOTA: Network Injector no puede monitorear conexiones FTP o HTTPS.

A continuación se describe cada método:

Datos Descripción

STATIC-IP

IP estática asignada al target.

STATIC-RANGE

Rango de direcciones IP asignadas al target.

STATIC-MAC

Dirección MAC estática del target, tanto Ethernet como Wi-Fi.

DHCP Dirección MAC de la interfaz de red del target.

RADIUS-LOGIN

Nombre de usuario RADIUS. User-Name (RADIUS 802.1x).

RADIUS-CALLID

Identificador de llamadas RADIUS. Calling-Station-Id (RADIUS802.1x).

RADIUS-SESSID

Identificador de sesión RADIUS. Acct-Session-Id (RADIUS 802.1x).

RADIUS-TECHKEY

Clave RADIUS. NAS-IP-Address: Acct-Session-Id (RADIUS 802.1x).

STRING-CLIENT

Cadena de texto a identificar en el tráfico de datos desde el target.

STRING-SERVER

Cadena de texto a identificar en el tráfico de datos hacia el target.

TACTICAL EL target no es identificado automáticamente pero puede seridentificado por el operador en Tactical Network Injector. Solocuando el operador identifica el dispositivo, el campo Ident sepersonaliza con los datos recibidos de este.



Datos Descripción

Patrón Forma de identificación del tráfico del target. El formato depende del tipo deIdent seleccionado.

Método FormatoDHCPSTATIC-IPSTATIC-MAC

Dirección correspondiente (p. ej.: "195.162.21.2").

STATIC-RANGE

Rango de direcciones separado por '-' (p. ej.: "195.162.21.2-195.162.21.5".

STRING-CLIENTSTRING-SERVER

Cadena de texto (p. ej.: "[email protected]").

RADIUS-CALLID

ID o parte del ID.

RADIUS-LOGIN

Nombre o parte del nombre de usuario.

RADIUS-SESSID

ID o parte del ID.

RADIUS-TECHKEY

Clave o parte de la clave (p. ej.: "*.10.*").

TACTICAL No es posible establecer un valor. El valor correcto seráestablecido por el operador en el campo.



Datos Descripción

Acción Método de infección que se aplicará al recurso indicado en Patrón de recursos:

Método Función

INJECT-EXE

Infecta el archivo EXE descargado en tiempo real. El agent se instalacuando el target ejecuta el archivo EXE.

INJECT-HTML-FILE

Le permite agregar el código HTML proporcionado en el archivo dela página web visitada.

Para ver más detalles, póngase en contacto con lostécnicos de HackingTeam.

INJECT-HTML-FLASH

Bloquea los sitios web compatibles y le solicita al usuario que instaleuna actualización falsa de Flash para verlos. El agent se instalacuando el target instala la actualización.

REPLACE Reemplaza el recurso establecido en Patrón de recursos con elarchivo proporcionado.

Sugerencia: este tipo de acción es muy efectiva cuando seusa en combinación con los documentos generados porExploit.



Datos Descripción

Patrón derecursos

Método de identificación de los recursos que serán inyectados, aplicado a ladirección URL del recurso web. El formato depende del tipo de Acciónseleccionado.

Tipo deacción

Contenido del patrón de recursos

INJECT-EXE

Dirección URL del archivo ejecutable a infectar. Use comodinespara aumentar la cantidad de direcciones URL que coinciden.Ejemplos de posibles formatos:*[nombreExe]*.exewww.mozilla.org/firefox/download/firefoxsetup.exe

NOTA: cuando se especifica la ruta completa, tengacuidado con los mirrors usados por los sitios web paradescargar archivos (p. ej.: "firefox.exe?mirror=it").

Sugerencia: ingrese *.exe* para infectar todos los archivosejecutables, independientemente de la dirección URL.

IMPORTANTE: por ejemplo, si se ingresa *exe* sin elseparador de extensión de archivo '.', todas las páginasque contengan accidentalmente las letras "exe" seráninfectadas.

INJECT-HTML-FILE

Dirección URL del sitio web a infectar.Ejemplos de posibles formatos:www.oracle.com/www.oracle.com/index.html

NOTA: la dirección del sitio debe incluir el carácter final '/'si no se especifica HTML o una página dinámica (p. ej.:"www.oracle.com/").

NOTA: no es posible infectar una página redireccionada.Verifique en el navegador la ruta correcta antes deindicarlo en la regla.

INJECT-HTML-FLASH

Preconfigurado para los sitio web compatibles y de solo lectura parael usuario.

REPLACE URL del recurso a reemplazar.



Datos Descripción

Factory Para todas las acciones, a excepción de REPLACE. Agent que se inyectará en elrecurso web seleccionado.

File Solo para la acción REPLACE . Archivo que será reemplazado con el que seindique en Patrón de recursos.

Verifique el estado del Network Injector

IntroducciónNetwork Injector se sincroniza con RCS Server para descargar las versiones actualizadas delsoftware de control, así como las reglas de identificación y de inyección, para enviarlas a losregistros.Es posible monitorear el estado de Network Injector desde RCS Console.Específicamente:

l en la secciónMonitor: para identificar cuándo Network Injector se sincroniza y cuándosolicita transferencias de datos.

Identificar cuándo se sincroniza Network InjectorA continuación se describe el procedimiento:

Paso Acción

1 En la sección Monitor , seleccione la fila correspondiente al objeto Network Injectorque desea analizar. Verifique la columna Estado : si está marcada en verde, elNetwork Injector está sincronizado.Esta situación ocurre cuando en el software Control Center (Appliance o Tactical):

l se hizo clic en Config., el operador colocó nuevas reglas o actualizaciones deforma manual;

l se hizo clic en Start o hay una infección en curso.

IMPORTANTE: RCS solo puede enviar las reglas y actualizacionesaplicadas cuando Network Injector está sincronizado.

Qué debería saber acerca de Appliance Control Center

IntroducciónAppliance Control Center es una aplicación instalada en Network Injector Appliance.

RCS9.5 - Verifique el estado del Network Injector


Puede infectar a dispositivos en una red por cable gracias a las reglas de identificación einyección para RCS.

Funciones de Appliance Control Center.Con Appliance Control Center usted puede:

l Activar la sincronización con RCS a través de un Anonymizer o cadena de Anonymizerspara recibir las reglas actualizadas de identificación e inyección y enviar registros.

l Actualizar el Appliance Control Center con la última versión, enviada a través de la RCSConsole.

l Identificar automáticamente los dispositivos conectados utilizando las reglas, e infectarlos.l Configura el acceso remoto a las aplicaciones.

Sincronización con el RCS ServerAppliance Control Center se sincroniza con RCS para recibir las reglas de infección actualizadas,para verificar si hay una nueva versión de Appliance Control Center disponible y para enviarregistros.La sincronización puede ocurrir de dos maneras:

l manualmente, la primera vez que recibe las reglas de inyección.l automáticamente con una infección en curso.

Durante la sincronización, el Network Injector se comunica con RCS en los intervalos establecidos(alrededor de 30 seg.).Comunicación a través de un Anonymizer. En el Appliance Control Center, en la pestaña SystemManagement, establezca qué Anonymizer se usará para la sincronización de RCD y decida cuándoactivar la sincronización.

Clave de autentificaciónPara comunicarse con RCS Server de forma segura se debe instalar una clave de autentificaciónen el Network Injector. La clave deberá generarse cuando el objeto Network Injector se cree enRCS Console y se instalará a través del Appliance Control Center durante la primerasincronización del Network Injector con RCS.

Actualización de las reglas de infecciónSi el tráfico generado por el target no se puede infectar con las reglas actuales, requiere laasistencia del operador en la RCS Console para generar nuevas reglas y actualizar el NetworkInjector. En la siguiente sincronización, Appliance Control Center recibe las nuevas reglas quepueden verse y activar para la inyección.

RCS9.5 - Funciones de Appliance Control Center.


Uso de las interfaces de redHay dos interfaces de red diferentes disponibles durante un ataque, una para el análisis y otrapara la inyección. Se deben usar dos interfaces separadas para generar continuidad,especialmente para el análisis de paquetes.Las interfaces de análisis de paquetes pueden ser de alta o baja velocidad.

Dirección IP de la interfaz de inyecciónSi el servidor y el target de Appliance no pertenecen a la misma subred (direcciones IP condiferentes prefijos de enrutamiento), la interfaz de inyección debe ser una dirección pública, de locontrario el target nunca podrá verla y la inyección fallará.En una fase inicial puede usar la dirección actual en la interfaz con Appliance Control Center (conunaPublic IP="auto"), espere un mensaje que indique que la dirección es privada y, en ese caso,establezca una dirección pública para redirigir la dirección privada (Public IP = "xxx.xxx.xxx.xxx").En análisis, por otro lado, se puede ejecutar a través de una interfaz de red con una dirección IPprivada.

Infección mediante identificación automáticaA continuación se describen los pasos necesarios para infectar dispositivos identificados mediantereglas de RCS. El ataque solo se puede realizar en redes con cable:

Fase Descripción Dónde

1 Prepare las reglas de identificación y de inyección para los targetsconocidos que se van a atacar. Enviar las reglas al Network Injec-tor

RCS Console, Sys-tem, NetworkInjectors

2 Realice una sincronización con RCS para recibir las reglas actua-lizadas y activar las reglas que se usarán para la inyección.

Network InjectorAppliance,Network Injector

3 El sistema analiza los paquetes del tráfico e identifica losdispositivos del target gracias a las reglas de identificación y losinfecta gracias a las reglas de inyección.

Network InjectorAppliance,Network Injector

Infección mediante identificación automáticaEste modo de trabajo es ideal para las situaciones en que se conoce alguna información deldispositivo del target (p. ej.: la dirección IP, MAC o RADIUS).En este caso, las reglas de inyección de RCS incluyen todos los datos requeridos para identificarautomáticamente los dispositivos del target. Solo se activan todas las reglas necesarias en esemomento para cada inyección.Al iniciar la identificación automática con la función Network Injector , se muestran losdispositivos del target que se infectan inmediatamente mediante las reglas de inyección.Acceso remoto a Appliance Control Center

RCS9.5 - Uso de las interfaces de red


También es posible acceder a Appliance Control Center de forma remota. Para obtener másinformación, consulte "Qué debería saber acerca del acceso remoto al Control Center" en lapágina 87 .

Qué debería saber acerca de Tactical Control Center

IntroducciónTactical Control Center es una aplicación instalada en la computadora portátil, llamada TacticalNetwork Injector.Puede infectar a dispositivos en una red por cable o Wi-Fi gracias a las reglas de identificación einyección para RCS. La identificación del dispositivo puede ser automática o manual. En elsegundo caso, el operador reconoce el dispositivo infectado y ejecuta el comando de aplicación dela regla de inyección para ese dispositivo.

El método de identificación deberá acordarse con el centro operativo.

Funcionamiento del Tactical Control CenterCon Tactical Control Center usted puede:

l Activar la sincronización con RCS a través de un Anonymizer o cadena de Anonymizerspara recibir las reglas actualizadas de identificación e inyección y enviar registros.

l Actualizar el Tactical Control Center, lo cual es fundamental para actualizar los agents enlos dispositivos.

l Identificar automáticamente dispositivos en redes por cable o Wi-Fi, e infectarlas deacuerdo con las reglas de inyección e identificación de RCS.

l Identificar manualmente dispositivos en redes por cable o Wi-Fi, e infectarlas a través delas reglas de inyección de RCS (identificación por parte del operador).

l Conectarse a una red Wi-Fi para obtener la contraseña.l Emular un Punto de acceso a una red Wi-Fi usada normalmente por el target.l Desbloquear la contraseña del sistema operativo de la computadora del target.l Configura el acceso remoto a las aplicaciones.

NOTA: la red de inyección puede ser externa, o una red Wi-Fi simulada por el TacticalControl Center.

Sincronización con el RCS ServerTactical Control Center se sincroniza con RCS para recibir las reglas de infección actualizadas,para verificar si hay una nueva versión de Appliance Control Center disponible y para enviarregistros.La sincronización puede ocurrir de dos maneras:

RCS9.5 - Qué debería saber acerca de Tactical Control Center


l manualmente, la primera vez que recibe las reglas de inyección.l automáticamente con una infección en curso.

Durante la sincronización, el Network Injector se comunica con RCS en los intervalos establecidos(alrededor de 30 seg.).Comunicación a través de un Anonymizer. En Tactical Control Center, en la pestaña SystemManagement establezca el Anonymizer que se usará para la sincronización de RCD y decidacuándo desea activar la sincronización.

Clave de autentificaciónPara comunicarse con RCS Server de forma segura se debe instalar una clave de autentificaciónen el Network Injector. La clave deberá generarse cuando el objeto Network Injector se cree enRCS Console y se instalará a través del Tactical Control Center durante la primera sincronizacióndel Network Injector con RCS.

Actualización de las reglas de infecciónSi el tráfico generado por el target no se puede infectar con las reglas actuales, requiere laasistencia del operador en la RCS Console para generar nuevas reglas y actualizar el NetworkInjector. En la siguiente sincronización, Tactical Control Center recibe las nuevas reglas quepueden verse y activar para la inyección.

Uso de las interfaces de redHay dos interfaces de red diferentes disponibles durante un ataque, una para el análisis y otrapara la inyección. Se deben usar dos interfaces separadas para generar continuidad,especialmente para el análisis de paquetes.Solo se utiliza la interfaz de análisis de paquetes cuando se emula un Punto de acceso y seobtienen contraseñas de red.Las interfaces de análisis de paquetes pueden ser internas o externas: las externas se deben usarpara el análisis de paquetes porque la velocidad de transmisión es mayor.

Infección mediante identificación automáticaA continuación se describen los pasos necesarios para infectar dispositivos identificados mediantereglas de RCS. El ataque se puede ejecutar en redes por cable o Wi-Fi:


1 Prepare las reglas de identificación y de inyección para los targetsconocidos que se van a atacar. Envíe las reglas al Tactical NetworkInjector.

RCS Console, Sys-tem, NetworkInjectors


Tactical NetworkInjector,Network Injector

RCS9.5 - Clave de autentificación



3 Si los dispositivos del target están conectados a la red Wi-Fi pro-tegida, obtenga la contraseña.

Tactical NetworkInjector, Wire-less Intruder

4 El sistema analiza los paquetes del tráfico e identifica losdispositivos del target gracias a las reglas de identificación y losinfecta gracias a las reglas de inyección.

Tactical NetworkInjector,Network Injector

5 En caso de ser necesario, fuerce la reautentificación de los dis-positivos no identificados por las reglas.

Infección mediante identificación manualA continuación se describen los pasos necesarios para infectar los dispositivos identificados deforma manual. La meta del operador es identificar los dispositivos del target.El ataque se puede ejecutar en redes por cable o Wi-Fi:


1 Prepare las reglas de identificación que incluyen la identificaciónmanual y las reglas de inyección para todos los dispositivos del targetque serán atacados. Envíe las reglas al Tactical Network Injector.

RCS Console,System,Network Injec-tors


TacticalNetwork Injec-tor, NetworkInjector

3 Si los dispositivos del target están conectados a la red Wi-Fi pro-tegida, obtenga la contraseña.

TacticalNetwork Injec-tor, WirelessIntruder

4 Si los dispositivos del target pueden conectarse a una red Wi-Fiabierta, intente emular un punto de acceso conocido por el target.

TacticalNetwork Injec-tor, FakeAccess Point

5 El sistema procesa todos los dispositivos conectados a la interfaz dered seleccionada. Use los filtros para buscar los dispositivos deltarget o para consultar el historial web para cada dispositivo.

TacticalNetwork Injec-tor, NetworkInjector

6 Seleccione los dispositivos e inféctelos.

Obtención de la contraseña de una red Wi-Fi protegidaSi el dispositivo del target está conectado a una red Wi- Fi protegida, se debe obtener lacontraseña de acceso para iniciar sesión.

RCS9.5 - Infección mediante identificación manual


La función Wireless Intruder le permite conectarse a una red Wi-Fi y descifrar la contraseña.Para las redes protegidas WPA y WPA2, se puede cargar un diccionario adicional además deldiccionario estándar. Se muestra la contraseña y el operador puede copiarla para usarla con lafunción de análisis e inyección (función Network Injector).

Forzar la autentificación de los dispositivos desconocidosPuede ocurrir que no pueda conectarse a algunos dispositivos en una red Wi-Fi protegida concontraseña. Estos tipos de dispositivos aparecerán en la lista como desconocidos.En este caso, se puede forzar la autentificación: el dispositivo se desconectará de la red, sevolverá a conectar y se podrá identificar.

Infección mediante identificación automáticaEste modo de trabajo es ideal para las situaciones en que se conoce alguna información deldispositivo del target (p. ej.: la dirección IP).En este caso, las reglas de inyección de RCS incluyen todos los datos requeridos para identificarautomáticamente los dispositivos del target. Solo se activan todas las reglas necesarias en esemomento para cada inyección.Al iniciar la identificación automática con la función Network Injector , se muestran losdispositivos del target que se infectan inmediatamente mediante las reglas de inyección.

Infección mediante identificación manualLa identificación manual se puede indicar en las reglas de identificación de RCS. Esteprocedimiento normalmente se ejecuta cuando no hay información en el dispositivo a infectar, yse lo debe identificar en el campo.En este caso, hay una serie de funciones disponibles para el operador que permiten seleccionardispositivos conectados a la red:

l se pueden establecer filtros para el tráfico interceptado: solo se infectarán los dispositivosque cumplan con estos criterios.

l se puede verificar el historial de cada dispositivo para decidir cuáles se deberían infectar.

Una vez que se identifican los dispositivos del target, simplemente selecciónelos para iniciar lainfección; las reglas de identificación están "personalizadas" con los datos del dispositivo parapermitir la aplicación de las reglas de inyección.

l NOTA: los dispositivos que ya se hayan infectado mediante la identificaciónautomática, se pueden infectar manualmente.

Establecer filtros en el tráfico interceptadoAl identificar targets manualmente, puede que algunos targets no se puedan identificar entreaquellos que estén conectados a la red. En este caso, use la función Network Injector paraestablecer los filtros para el tráfico interceptado.El Tactical Control Center brinda los tipos de filtros:

RCS9.5 - Forzar la autentificación de los dispositivos desconocidos


l expresiones regularesl Network BPF (Filtro de paquetes Bekerley)

Filtro con expresiones regulares

Las expresiones regulares son filtros amplios. Por ejemplo, si nuestro target está visitando unapágina de Facebook y hablando de windsurf, simplemente ingrese "facebook" o "windsurf".El Tactical Network Injector interceptará todos los datos de tráfico y buscará las palabras enteras.Para obtener más información sobre todas las expresiones regulares admitidas, consultehttps://en.wikipedia.org/wiki/Regular_expression .

Filtro de red BPF (Berkeley Packet Filter)

Se usa para filtrar dispositivos usando la sintaxis BPF. Esta sintaxis incluye palabras claveacompañadas por calificadores:

l calificadores de tipo (p. ej.: host, net, port), indican el tipo de objeto buscadol calificadores de dirección (p. ej.: src, dst) indican la dirección de los datos buscadosl calificadores de protocolo (p. ej.: ether, wlan, ip) indican el protocolo usado por el objeto

buscado

Por ejemplo, si nuestro target está en la página de Facebook, ingrese "host facebook.com"Para ver más detalles sobre los calificadores de sintaxis, consultehttp://wiki.wireshark.org/CaptureFilters.

Identificar el target analizando el historialOtra manera de filtrar y reducir la lista de posibles targets es analizar el tráfico web deldispositivo para identificarlo como un target.

Emulación de un Punto de acceso conocido por el targetEn ciertos escenarios, los dispositivos del target son atraídos para interceptar sus datos,identificarlos e infectarlos.Para hacer esto, el Tactical Network Injector emula un Punto de acceso conocido para eldispositivo del target.De esta manera, si el dispositivo está habilitado para conectarse automáticamente a las redes Wi-Fi disponibles, se conectará automáticamente al Punto de acceso emulado por el Tactical NetworkInjector en el momento en que ingresa en el área de Wi-Fi.Desbloquear la contraseña del sistema operativoEs posible desbloquear la contraseña de un sistema operativo. Para obtener más información,consulte "Qué debería saber acerca del desbloqueo de las contraseñas del sistema operativo" enla página 86 .Acceso remoto a Tactical Control CenterTambién es posible acceder a Tactical Control Center de forma remota. Para obtener másinformación, consulte "Qué debería saber acerca del acceso remoto al Control Center" en lapágina 87 .

RCS9.5 - Filtro con expresiones regulares


http://en.wikipedia.org/wiki/Regular_expression

http://wiki.wireshark.org/CaptureFilters

Qué debería saber acerca de la identificación de contraseñasde redes Wi-Fi

IntroducciónTactical Control Center incluye tres tipos de ataques para identificar las contraseñas de redes Wi-Fi (Wireless Intruder):

l WPA/WPA2 dictionary attackl WEP bruteforce attackl WPS PIN bruteforce attack

WPA/WPA2 dictionary attackPara realizar este ataque, el sistema identifica los handshakes entre el cliente y el punto deacceso e intenta descubrir la contraseña usando un diccionario de palabras comunes.El handshake se guarda en la carpeta /opt/td- config/run/besside/wpa.cap. De ser necesario,puede copiar el handshake e intentar atacar con otra máquina más potente.Una vez que el sistema identifica el handshake, el ataque puede continuar sin tener quepermanecer cerca de la red Wi-Fi.El ataque puede tomar mucho tiempo, es proporcional al tamaño del diccionario. El ataque fallasi la contraseña no se encuentra en el diccionario de palabras comunes.

WEP bruteforce attackPara realizar este ataque, el sistema hace una inyección simulando ser uno de los clientesconectados a la red y recopila datos para forzar la contraseña codificada. Cuando menos uncliente debe estar conectado a la red.El ataque se tarda entre 10 y 15 minutos y la computadora portátil debe permanecer en el rangode cobertura de la red Wi-Fi en todo momento.

WPS PIN bruteforce attackPara realizar este ataque, el sistema intenta todas las combinaciones posibles para recuperar lospuntos de acceso a través de un protocolo Wi-Fi Protected Setup.El ataque puede tomar mucho tiempo y la computadora portátil debe permanecer en el rango decobertura de la red Wi-Fi en todo momento.

Progreso del ataqueEs posible ver el porcentaje de progreso del ataque [1] (WPA/WPA2 y WPS) o los vectores deinicio capturados (WEP) en la pestaña Tactical Control Center Wireless Intruder.

RCS9.5 - Qué debería saber acerca de la identificación de contraseñas de redes Wi-Fi


Qué debería saber acerca del desbloqueo de las contraseñasdel sistema operativo

IntroducciónA través de una conexión FireWire o Thunderbolt con la computadora del target, el TacticalNetwork Injector puede acceder a la memoria RAM de la computadora del target y desbloquearla contraseña del sistema operativo. De este modo se puede atacar a la computadora, porejemplo, con infecciones físicas (ej.: a través de Silent Installer).

NOTA: esta operation solo involucra a la RAM de la computadora del target: si lacomputadora se apaga o reinicia, no quedará ningún rastro de la operation.

La pestaña Physical Unlock del Tactical Control Center le permite ejecutar la operation debloqueo y desbloqueo de contraseña.

Requisitos del Tactical Network InjectorSe deben usar los accesorios específicos de acuerdo con el tipo de conexión (FireWire oThunderbolt):

l Adaptador ExpressCard/34l cable

Requisitos de la computadora del targetLa operation solo puede completarse con éxito si la computadora del target cumple con lossiguientes requisitos:

RCS9.5 - Qué debería saber acerca del desbloqueo de las contraseñas del sistema operativo


l 4 GB de RAM como máximol Puerto de conexión FireWire o Thunderbolt (integrado o con adaptador)

Proceso estándar

Fase Descripción

1 El operador:l conecta físicamente el Tactical Network Injector a la computadora del target

a través de una conexión FireWire o Thunderboltl ejecuta el procedimiento de desbloqueo de contraseñas del sistema operativo

a través de la pestaña Physical Unlock del Tactical Control Center .

2 Tactical Network Injectorl lee la memoria RAM (volcado de memoria) de la computadoral identifica la parte de la memoria dedicada a la contraseña del sistema ope-

rativol usa esta información para desbloquear el sistema operativo y comunica el

resultado al operador

3 El operador:l accede a la computadora del target con una contraseña en blanco (solo debe

presionar Entrar en la página de inicio de sesión) o cualquier contraseña quetenga al menos 8 caracteres.

l ejecuta operations en la computadora del target, por ejemplo, infecciones físi-cas (ej.: a través de Silent Installer)

l en caso de ser necesario, inicia la función de bloqueo de contraseñas del sis-tema operativo a través de la pestaña Physical Unlock del Tactical ControlCenter.

Qué debería saber acerca del acceso remoto al Control Center

IntroducciónPuede acceder a Tactical Control Center y Appliance Control Center desde un dispositivo remoto.La pestaña System Management de las aplicaciones le permite configurar esta opción.Por ejemplo, así es como se ve la pestaña Tactical Control Center.

RCS9.5 - Proceso estándar


Específicamente, se requiere lo siguiente para realizar un acceso remoto:l Contraseña de disco codificado (solo para Tactical Control Center)l Módem 3G para la conexiónl Dirección IP del dispositivol Protocolo de red

Contraseña del disco (solo para Tactical Control Center)La computadora portátil del Tactical Network Injector tiene un disco codificado y se requiere lacontraseña del disco cada vez que se enciende. Para evitar el ingreso manual de la contraseña,puede guardarla en una memoria SD y dejarla insertada (preferiblemente en la ranura SD de lacomputadora portátil).

NOTA: la contraseña no es la contraseña del sistema. De esta manera, la tarjeta SD nocontiene información que puedan usar terceros para acceder al sistema operativo.

Para cambiar la contraseña, simplemente genere una nueva.

Módem 3G para la conexiónEl módem 3G enModem Interface se usa para conectar el dispositivo a una red.Si se desconecta o reinicia el sistema con el módem activado, la conexión se restableceautomáticamente.

Sugerencia: para tener una mayor seguridad, use el módem 3G integrado a lacomputadora portátil en lugar de un módem externo.

RCS9.5 - Contraseña del disco (solo para Tactical Control Center)


Dirección IP del dispositivoSi se establece, se envía un correo electrónico a la dirección indicada en Notification email con ladirección IP del dispositivo cada vez que se conecta.Si la dirección IP es dinámica, espere hasta que se envíe un correo electrónico con la direcciónque se utilizará para la conexión.Si la dirección IP es estática, puede establecer que se envíe el correo electrónico para informarlecuando el dispositivo esté conectado.

Correo electrónico con modo de envío a dirección IPPara enviar el correo electrónico, puede usar la configuración automática que utiliza el servidorde correo electrónico del dispositivo, o especificar manualmente un servidor de correoelectrónico.Si se usa la configuración automática, la dirección de correo electrónico del remitente será[email protected], donde hostname es el host del dispositivo. En ese caso, se usará elespecificado.Para verificar si las comunicaciones se establecen correctamente, envíe un correo electrónico deprueba.

Protocolo de redLas comunicaciones se realizan a través de un protocolo de red especificado en la sección RemoteManagement.

Otras funciones útilesPuede abrir directamente algunos de los paneles del sistema operativo de la pestaña SystemManagement por medio de las siguientes claves:

l Disk encryption: permite cambiar la contraseña del disco (solo Tactical Control Center)l User management: permite editar a los usuarios y grupos de usuariosl Edit network: permite editar la configuración de la redl Network utility: permite ejecutar un diagnóstico de red

Comandos de Tactical Control Center y Appliance ControlCenter

IntroducciónExisten algunos comandos de terminal disponibles para administrar las aplicaciones de TacticalControl Center y Appliance Control Center.

NOTA: Para ejecutar estos comandos se requieren privilegios de administrador.

RCS9.5 - Dirección IP del dispositivo


ComandosA continuación se describen los comandos disponibles para Tactical Control Center y ApplianceControl Center:

Comandos de TacticalControl Center

Comandos de ApplianceControl Center

Función

tactical appliance Inicia la aplicación.

tactical -d o bientactical --desync

appliance -d o bienappliance --desync

Desconecta el sistema de RCS Serveractualmente sincronizado.

tactical -l o bientactical --log

appliance -l o bienappliance --log

Muestra los registros de los procesos deinfección actuales.

NOTA: la ventana de laaplicación debe estar abierta.

tactical -s o bientactical --show-logs

appliance -s o bienappliance --show-logs

Muestra todos los archivos de registroguardados en el sistema de archivos.

tactical - r otactical --report

appliance - r oappliance --report

Crea un informe del sistema y lo guardaen la carpeta Home del usuario.

tactical - v o bienTactical --version

appliance - v o bienappliance --version

Muestra la versión de la aplicación.

tactical -h o bientactical --help

appliance -h o bienappliance --help

Muestra los comandos disponible.

Appliance Control Center

PropósitoAppliance Control Center le permite:

l administrar las inyecciones de Network Injector Appliancel sincronizar Network Injector Appliance con RCS Server para recibir actualizaciones y

enviar registrosl configurar el acceso remoto a las aplicaciones

RCS9.5 - Comandos


Solicitud de contraseñaCuando Appliance Control Center se abre, se debe ingresar una contraseña, la misma que se usaen la computadora portátil en la que se está ejecutando.


Área Descripción

1 Pestañas de acceso a las aplicaciones particulares. A continuación se muestra ladescripción de cada elemento:

Función Descripción

NetworkInjector

Administra el análisis de paquetes y la infección del dispositivo deltarget, sincroniza las reglas de RCS y actualiza los dispositivos deAppliance.

SystemManagement

Permite establecer el Anonymizer que se usará para las comu-nicaciones con RCS, activar la sincronización manual con RCS y esta-blecer el acceso a la aplicación.

Log System Visualización de registros.

2 Área con claves específicas para la pestaña.

Para obtener más informaciónPara obtener más información acerca de Appliance Control Center consulte "Qué debería saberacerca de Appliance Control Center" en la página 77 .Para ver una descripción de los datos de Appliance Control Center consulte "Datos de ApplianceControl Center" en la página 97 .

RCS9.5 - Solicitud de contraseña


Activar la sincronización con RCS Server para recibir nuevas reglasA continuación se muestra el procedimiento sobre cómo activar la sincronización con RCS Serverpara recibir las actualizaciones de las reglas:

NOTA: si la inyección está en curso, Network Injector ya está sincronizado con RCS Servery por lo tanto las reglas se cargan automáticamente. Ir al paso 4. Consulte "Verifique elestado del Network Injector" en la página 77

Pasos Resultado

1. En la pestañaNetwork Injector, haga clic enConfig.: la sincronización está activada.

2. Durante la sincronización, Network Injectorconsulta RCS cada 30 segundos. Las reglasde inyección enviadas serán recibidas alfinalizar el primer intervalo.

IMPORTANTE: solo serecibirán actualizaciones sise envían desde RCSConsole. Consulte"Administración de losNetwork Injector" en lapágina 68

IMPORTANTE: realice unasincronización normal paragarantizar el controlconstante de lasactualizaciones de espacio .

3. Para detener la sincronización, haga clic enStop.

4. Para ver las reglas recibidas de RCS Console,en Network Injector, haga clic en Rules: semostrarán todas las reglas para NetworkInjector

IMPORTANTE: asegúrese deque la sincronización de lasreglas se realice con éxitodespués de solicitar laactualización a RCS Console.

RCS9.5 - Activar la sincronización con RCS Server para recibir nuevas reglas


Hacer una prueba a la redA continuación se muestra el procedimiento para hacer pruebas a la red para detectar análisis depaquetes y/o inyección:

Pasos Resultado

1. En la pestañaNetwork Injector, seleccionela interfaz de la red.

2. Haga clic en Link test: aparecerá unaventana donde se muestran los resultados.

3. Si la prueba falla, revise la configuración dela red deseada y repita la prueba.

IMPORTANTE: si la pruebafalla, el ataque no se podrárealizar con éxito.

Infectar targets por medio de la identificación automáticaPara comenzar la identificación automática y la infección:

Pasos Resultado

1. En la pestañaNetwork Injector, haga clic enRules: se mostrarán todas las reglasdisponibles para Network Injector.

2. Solo se activarán las reglas que se usaránpara la infección si se marca el campoEnable correspondiente.

3. Para confirmar, haga clic en Apply.

RCS9.5 - Hacer una prueba a la red


Pasos Resultado

4. Seleccione la interfaz de red para lainyección en la lista desplegable InjectingInterface.

5. En la lista desplegable Sniffing Interface,seleccione otra interfaz de red que seutilizará para el análisis de paquetes o lamisma interfaz usada para la inyección.

Sugerencia: use dosinterfaces diferentes paragarantizar una mejoridentificación del dispositivo.

NOTA: Las interfaces Endace(DAG), es decir, las interfacesde análisis de paquetes, semuestran en SniffingInterface.

6. Haga clic en Automatic Startup parareiniciar automáticamente la infección sinintervención humana, incluso después delreinicio o desconexión de ApplianceNetwork Injector.

7. Haga clic en Start.

IMPORTANTE: ApplianceControl Center le permiteconfigurar, iniciar unainfección y cerrar ApplianceControl Center dejando lainfección activa. La próximavez que se abra con lainfección activa, apareceráel botón Stop en lugar delbotón Start. Esto le permiteconfigurar una nuevainyección y ejecutarla.

NOTA: paraactivar/desactivar las reglascuando la infección está encurso, haga clic en Rules.

RCS9.5 - Infectar targets por medio de la identificación automática


Pasos Resultado

8. Para detener la infección, haga clic en Stop.O cierre la ventana para dejar la infecciónactiva.

Sugerencia: cierre la ventanapara permitir que el sistemaejecute automáticamente lasactualizaciones de ApplianceControl Center.

-

Configurar el acceso remoto a las aplicacionesPara acceder a Appliance Control Center de forma remota:

RCS9.5 - Configurar el acceso remoto a las aplicaciones


Pasos Resultado

1. Conecte el módem al dispositivo.2. En la pestaña System Management haga clic

en Refresh: el sistema reconocerá elmódem y lo mostrará en laModemInterface.

3. Si hay varios módems instalados, seleccioneel módem deseado en la lista desplegableModem Interface.

4. Para activar el envío de correos electrónicoscon la dirección IP del dispositivo en cadaconexión, siga estos pasos:

a. En Notification e-mail ingrese ladirección a la cual enviar el correo.

b. Haga clic enMail test para enviar uncorreo electrónico de prueba

c. Si no recibe el correo, haga clic enAdvanced para establecer manual-mente el servidor de correos: apa-recerá la ventana Email advancedconfiguration.

d. Ingrese los datos indicados y hagaclic en Guardar.

e. Haga clic enMail test para enviar uncorreo electrónico de prueba con elservidor configurado.

5. Para activar la conexión automática con elmódem seleccionado, haga clic en Enable.

6. Seleccione el protocolo de red que se usarápara el acceso remoto.

NOTA: es posible abrirdirectamente algunasventanas útiles del sistemaoperativo por medio de losbotones que se encuentranen la parte inferior de lapantalla. Consulte "Quédebería saber acerca delacceso remoto al ControlCenter" en la página 87 .

Ver los detalles de una infecciónPara ver los registros de la sesión actual, seleccione la pestaña Log System.

RCS9.5 - Ver los detalles de una infección


Para ver todos los archivos del registro, haga clic en la pestaña Mostrar registros en la pestañaLog System.

NOTA: todos los archivos de registro se guardan en el sistema de archivos en /var/log/td-config.

Datos de Appliance Control Center

Datos de la pestaña Network InjectorA continuación se describen los datos:

Datos Descripción

InjectingInterface

Lista de interfaces de red conectadas. Seleccione la interfaz de inyecciónconectada a la red a la que está conectado el dispositivo que se invadirá.

Sniffing Inter-face

Al igual que una Injecting Interface u otra interfaz de red se usa solo paraanalizar paquetes.

NOTA: Si el sistema incluye una tarjeta Endace DAG para conexionesGigabit, la tarjeta será detectada y aparecerá en esta lista.

IP pública Permite especificar una dirección IP pública que se puede mapear a la direc-ción IP privada de la interfaz de inyección. Si se ingresa el valor "auto", el sis-tema utiliza la dirección IP predeterminada en la interfaz de inyección y envíaun mensaje indicando que es una dirección IP privada.

Configuraciónautomática

La infección se reinicia automáticamente sin intervención humana, inclusodespués del reinicio o desconexión de Appliance Network Injector.

IMPORTANTE: Si esta opción no está seleccionada, la infección nose iniciará automáticamente.

Datos de la pestaña System ManagementA continuación se describen los datos:

Datos Descripción

Dirección de red La dirección IP del Anonymizer se usa para comunicarse con RCS Server.

Puerto Puerto de comunicación con el Anonymizer.

Modem inter-face

Módem 3G para la conexión del dispositivo.

RCS9.5 - Datos de Appliance Control Center


Datos Descripción

Notificationemail

Dirección de correo electrónico a la cual se envía la IP del dispositivo cadavez que se conecta a la red.

IMPORTANTE: campo obligatorio para las direcciones IPdinámicas.

Administraciónremota

Protocolo de red para el acceso remoto.

Tactical Control Center

PropósitoTactical Control Center le permite:

l administrar las inyecciones del Tactical Network Injectorl sincronizar Network Injector Appliance con RCS Server para recibir actualizaciones y

enviar registrosl desbloquear la contraseña del sistema operativo de la computadora del targetl configurar el acceso remoto a las aplicaciones

Solicitud de contraseñaCuando Tactical Control Center se abre, se debe ingresar una contraseña, la misma que se usa enla computadora portátil en la que se está ejecutando.


RCS9.5 - Tactical Control Center


Área Descripción

1 Pestañas de acceso a las aplicaciones particulares. A continuación se muestra ladescripción de cada elemento:

Función Descripción

NetworkInjector

Administra el análisis y la infección del dispositivo del target,sincroniza las reglas de RCS, actualiza los dispositivos Tactical ymuestra las reglas actuales del Tactical Network Injector.

WirelessIntruder

Ingresa a una red Wi-Fi protegida, identificando la contraseña.

Fake AccessPoint

Emula un punto de acceso.

PhysicalUnlock

Desbloquea una contraseña del sistema operativo.

SystemManagement

Permite establecer el Anonymizer que se usará para las comu-nicaciones con RCS, activar la sincronización manual con RCS y esta-blecer el acceso a la aplicación.

Log System Visualización de registros.

2 Área con claves específicas para la pestaña.

3 Filtros para filtrar el tráfico de Internet en los dispositivos.

4 Área con la lista de dispositivos.



Para obtener más informaciónPara ver una descripción de Tactical Control Center consulte "Datos del Tactical Control Center"en la página 115 .Para obtener más información acerca de Tactical Control Center consulte "Qué debería saberacerca de Tactical Control Center" en la página 80 .

Activar la sincronización con RCS Server para recibir nuevas reglas

NOTA: si la inyección está en curso, Network Injector ya está sincronizado con RCS Servery por lo tanto las reglas se cargan automáticamente. Ir al paso 4. Consulte "Verifique elestado del Network Injector" en la página 77

A continuación se muestra el procedimiento sobre cómo activar la sincronización con RCS pararecibir las actualizaciones de las reglas:

Pasos Resultado

1. En la pestañaNetwork Injector, haga clic enConfig.: la sincronización está activada.

2. Durante la sincronización, Network Injectorconsulta RCS cada 30 segundos. Las reglasde inyección enviadas serán recibidas alfinalizar el siguiente intervalo.

IMPORTANTE: solo serecibirán actualizaciones sise envían desde RCSConsole. Consulte"Administración de losNetwork Injector" en lapágina 68

IMPORTANTE: realice unasincronización normal paragarantizar el controlconstante de lasactualizaciones de espacio .

3. Para detener la sincronización, haga clic enStop.



Pasos Resultado

4. Para ver las reglas recibidas de RCS Console,en Network Injector, haga clic en Rules: semostrarán todas las reglas para NetworkInjector

IMPORTANTE: asegúrese deque la sincronización de lasreglas se realice con éxitodespués de solicitar laactualización a RCS Console.

Hacer una prueba a la redA continuación se muestra el procedimiento para hacer pruebas a la red para detectar análisis depaquetes y/o inyección:

Pasos Resultado

1. En la pestañaNetwork Injector oWirelessIntruder o Fake Access Point, seleccione lainterfaz de red.

2. Haga clic en Link test: aparecerá unaventana donde se muestran los resultados.

3. Si la prueba falla, muévase a una mejorposición donde la señal sea más potente yrepita la prueba.

IMPORTANTE: si la pruebafalla, el ataque no se podrárealizar con éxito.

Obtener una contraseña de red Wi-Fi protegidaA continuación se muestra cómo obtener una contraseña de red Wi-Fi protegida:

RCS9.5 - Hacer una prueba a la red


Pasos Resultado

1. En la pestañaWireless Intruder, seleccionela interfaz de red Wi-Fi enWirelessinterface

2. En ESSID network, seleccione la red cuyacontraseña debe identificarse.

NOTA: administre lasconexiones/desconexiones dela interfaz de red desde elsistema operativo y haga clicen Refresh.

3. Seleccione el tipo de ataque en Attack type.4. Si es necesario, haga clic enWordlist para

cargar un diccionario adicional para atacarlas redes protegidas por WPA o WPA 2

IMPORTANTE: el diccionarioadicional se debe cargar encada ataque.

5. Haga clic en Start: el sistema lanza variosataques para encontrar la contraseña deacceso.

6. Haga clic en Stop para detener el ataque.

RCS9.5 - Obtener una contraseña de red Wi-Fi protegida


Pasos Resultado

7. Si el ataque se realiza con éxito, aparecerá lacontraseña sobre el indicador de estado.

8. Con el Administrador de red del sistemaoperativo, use la contraseña paraconectarse a la red Wi-Fi. El sistema guardala contraseña y ya no necesita ingresarse.

9. Abra la sección Network Injector parainiciar la identificación y la infección.

-

Infectar targets por medio de la identificación automáticaPara comenzar la identificación automática y la infección:

Pasos Resultado






Pasos Resultado

4. En la pestañaNetwork Injector, seleccionela interfaz de red para la inyección en la listadesplegable Injecting Interface.

5. En la lista desplegable Sniffing Interface,seleccione otra interfaz de red que seutilizará para el análisis de paquetes o lamisma interfaz usada para la inyección.

NOTA: administre lasconexiones/desconexiones dela interfaz de red desde elsistema operativo y haga clicen Refresh.

Sugerencia: use dosinterfaces diferentes paragarantizar una mejoridentificación del dispositivo.

6. Revise la potencia de la señal y, si esnecesario, realice la prueba de lared (botón Link test).

NOTA: la potencia de la señaldebe ser cuando menos 70 %.Si se usa la misma interfaz dered para la inyección y elanálisis de paquetes darácomo resultado un únicovalor.



Pasos Resultado

7. Haga clic en Start: se iniciará el proceso deanálisis de paquetes de la red y semostrarán todos los dispositivosidentificados como targets. La columnaStatusmuestra el estado de identificación.

ADVERTENCIA: verifique elestado de identificación.Consulte "Datos del TacticalControl Center" en la página115 .

8. Los dispositivos del target comienzan ainfectarse. El inicio de la infección seregistra.

NOTA: paraactivar/desactivar las reglascuando la infección está encurso, haga clic en Rules.

NOTA: los dispositivos que noson del target no apareceránen la lista y por lo tantoserán excluidos de lainfección automática.

9. Para detener la infección, haga clic en Stop. -

Forzar la autentificación de los dispositivos desconocidosPara forzar la autentificación de los dispositivos desconocidos:

Pasos Resultado

RCS9.5 - Forzar la autentificación de los dispositivos desconocidos


Pasos Resultado

1. En la pestañaNetwork Injector, seleccione

los dispositivos de la lista (estado )

2. Haga clic en Reauth selected: losdispositivos serán forzados a volver aautentificarse.

Sugerencia: en ciertos casos,todos los dispositivos deberánautentificarse. Para hacerlo,haga clic en Reauth all.

NOTA: la clave Reauthselected se muestra si seseleccionan dispositivos, yReauth all si no se seleccionaningún dispositivo.

-

3. Si la reautentificación se realiza con éxito, seiniciará la identificación automática: el

estado del dispositivo será y podrá serinfectado a partir de ahora.

-

Infectar targets por medio de la identificación manualPara infectar manualmente los dispositivos de la red:

RCS9.5 - Infectar targets por medio de la identificación manual


Pasos Resultado




4. En Network Injector, seleccione uno o másdispositivos a infectar e identifíquelosusando los datos que se muestran.

Sugerencia: si hay muchosdispositivos en la lista, use losfiltros de selección. Consulte"Establecer filtros en eltráfico interceptado" en lapágina opuesta .

RCS9.5 - Infectar targets por medio de la identificación manual


Pasos Resultado

5. Haga clic en Infect selected: se"personalizarán" y aplicarán todas las reglasde infección con los datos del dispositivo.Los ataques a los dispositivos se mostraránen los registros.

IMPORTANTE: estaoperación requiere unaregla especial creada en RCSConsole.

Sugerencia: para infectar atodos los dispositivosconectados, incluso aquellosque no sean el target o aúnno estén conectados a uno,haga clic en Infectar todo.

NOTA: la clave Infectselected se muestra si seseleccionan dispositivos, eInfect all si no se seleccionaningún dispositivo.

Resultado: si la infección se inició con éxito, el

estado del dispositivo es .

-

Establecer filtros en el tráfico interceptadoPara seleccionar los dispositivos del target con los filtros en el tráfico de datos:

Pasos Resultado

RCS9.5 - Establecer filtros en el tráfico interceptado


Pasos Resultado

1. En la pestañaNetwork Injector, haga clic enNetwork filters.

2. Para realizar una búsqueda más amplia,ingrese una expresión regular en el cuadrode texto Regular expression.

3. O, para redefinir la búsqueda, ingrese unaexpresión BPF en el cuadro de texto BPFNetwork Filter.

Resultado : el sistema solo muestra losdispositivos filtrados en la lista.

4. Infecte manualmente los dispositivos segúnlo que se describe en el procedimientoconsulte "Infectar targets por medio de laidentificación manual" en la página 106 .

-

Identificar el target analizando el historial webPara identificar un target:

Pasos Resultado

1. En la pestañaNetwork Injector, haga dobleclic en el dispositivo a verificar: se abriráuna ventana con el historial de sitios webvisitados por el navegador.

RCS9.5 - Identificar el target analizando el historial web


Pasos Resultado

2. Si el dispositivo es del target, cierre elhistorial y realice el procedimiento"Infectar targets por medio de laidentificación manual" en la página 106 .

-

Limpiar dispositivos infectados por errorPara eliminar la infección de los dispositivos, cierre el agent en RCS Console.

Emulación de un Punto de acceso conocido por el target

IMPORTANTE: antes de emular un Punto de acceso, detenga cualquier ataque encurso en la pestaña Network Injector.

Para transformar un Tactical Network Injector en un Punto de acceso conocido por los targets:

Pasos Resultado

1. En la pestaña Fake Access Point, seleccionela interfaz de red a la cual escuchar, en lalista desplegable de laWireless Interface.

2. Seleccione el tipo de emulación de Punto deacceso -

3. Haga clic en Start: Tactical Network Injectorrecuperará y mostrará los nombres de lasredes Wi-Fi a las que suelen estarconectados los dispositivos.

4. Tactical Network Injector establecerácomunicaciones con los dispositivossimples, emulando el punto de acceso paracada red.

-

RCS9.5 - Limpiar dispositivos infectados por error


Pasos Resultado

5. En Network Injector, seleccione la mismainterfaz de red que se muestra como puntode acceso en el menú desplegable de laInjecting Interface

6. Haga clic en Start: se mostrarán losdispositivos conectados

7. Infecte manualmente los dispositivos segúnlo que se describe en el procedimientoconsulte "Infectar targets por medio de laidentificación manual" en la página 106 .

-

Desbloquear una contraseña del sistema operativo.Para desbloquear una contraseña del sistema operativo:

Pasos Resultado

1. Conecte el Tactical Network Injector a lacomputadora del target a través de unaconexión FireWire o Thunderbolt. Use elpuerto ExpressCard/34 del lado de TacticalNetwork Injector.

2. En la pestaña Physical Unlock, haga clic enRefresh: el sistema reconocerá el sistemaoperativo de la computadora y lo mostraráen Operating System.

3. En la lista desplegable Operating System,seleccione la versión del sistema operativo.

RCS9.5 - Desbloquear una contraseña del sistema operativo.


Pasos Resultado

4. Haga clic en Unlock: el sistema intentarádesbloquear la contraseña y mostrará elprogreso de la operation. Cuando terminese mostrará el resultado de la operation.

5. Para bloquear el sistema operativo, haga clicen Lock: se restaurará la contraseña y lacomputadora volverá a la condición anterioral procedimiento de desbloqueo.

NOTA: la clave Lock soloaparece si el procedimientode desbloqueo se completócorrectamente.

Configurar el acceso remoto a las aplicacionesPara acceder a Tactical Control Center de forma remota:



Pasos Resultado

1. Inserte una tarjeta SD en la ranura de lacomputadora portátil.

2. En la pestaña System Management haga clicen Refresh: el sistema reconocerá la tarjetaSD y la mostrará en SD Card.

3. Si se instalan varias tarjetas SD, seleccione latarjeta requerida en el menú desplegablede SD card y haga clic en Create.

4. Ingrese la contraseña de administrador delsistema y haga clic en OK: el sistemagenerará una nueva contraseña y laguardará en la tarjeta SD.



Pasos Resultado

5. Conecte el módem al dispositivo.6. En la pestaña System Management haga clic

en Refresh: el sistema reconocerá elmódem y lo mostrará en laModemInterface.

7. Si hay varios módems instalados, seleccioneel módem deseado en la lista desplegableModem Interface.

8. Para activar el envío de correos electrónicoscon la dirección IP del dispositivo en cadaconexión, siga estos pasos:

a. En Notification e-mail ingrese ladirección a la cual enviar el correo.

b. Haga clic enMail test para enviar uncorreo electrónico de prueba

c. Si no recibe el correo, haga clic enAdvanced para establecer manual-mente el servidor de correos: apa-recerá la ventana Email advancedconfiguration.

d. Ingrese los datos indicados y hagaclic en Guardar.

e. Haga clic enMail test para enviar uncorreo electrónico de prueba con elservidor configurado.

9. Para activar la conexión automática con elmódem seleccionado, haga clic en Enable.

NOTA: el módem activado enesta pestaña aparecerá en lapestaña Network Injector,en la lista desplegableInjecting Interface y se usarápara infectar a los agents.

10. Seleccione el protocolo de red que seusará para el acceso remoto.

NOTA: es posible abrirdirectamente algunasventanas útiles del sistemaoperativo por medio de losbotones que se encuentranen la parte inferior de lapantalla. Consulte "Quédebería saber acerca delacceso remoto al ControlCenter" en la página 87 .



Apagar el Tactical Network InjectorNo hay previsto ningún procedimiento particular. Solo apague normalmente la computadora.

Ver los detalles de una infecciónPara ver los registros de la sesión actual, seleccione la pestaña Log System.Para ver todos los archivos del registro, haga clic en la pestaña Mostrar registros en la pestañaLog System.

NOTA: todos los archivos de registro se guardan en el sistema de archivos en /var/log/td-config.

Datos del Tactical Control Center

Datos de la pestaña Network InjectorA continuación se describen los datos:

Datos Descripción

InjectingInterface

Lista de interfaces de red conectadas. Seleccione la interfaz de inyección conectadaa la red a la que está conectado el dispositivo que se invadirá.Al simular un punto de acceso, también se muestra la interfaz usada en la pestañaFake Access Point.También se muestra el módem 3G configurado y activado para el acceso remotoen la pestaña System Management.

SniffingInterface

Al igual que una Injecting Interface u otra interfaz de red se usa solo para analizarpaquetes.

Regularexpression

Expresión usada para filtrar los dispositivos conectados a la red. Se aplica a todoslos datos transmitidos y recibidos por el dispositivo a través de la red, de cualquiertipo.Consulte "Qué debería saber acerca de Tactical Control Center" en la página 80

BPFnetworkfilter

Se usa para filtrar dispositivos usando la sintaxis BPF (Berkeley Packet Filter). Estasintaxis incluye palabras clave acompañadas por calificadores:Consulte "Qué debería saber acerca de Tactical Control Center" en la página 80

Datos encontrados del dispositivoA continuación se describen los datos:

RCS9.5 - Apagar el Tactical Network Injector


Datos Descripción

Estado Estado de los dispositivos conectados a la red:

: dispositivo desconocido. No puede infectarse por problemas relacionados conla autentificación. Fuerce la autentificación.

: dispositivo en proceso de identificación.

: dispositivo identificado y que puede ser infectado.

: dispositivo infectado.

HWaddress

Dirección de hardware de la tarjeta de red del dispositivo.

DirecciónIP

Dirección IP de la red del dispositivo.

Vendedor Marca de la tarjeta de red (bastante confiable).

Hostname Nombre del dispositivo.

OS Sistema operativo del dispositivo.

Navegador Navegador web usado por el dispositivo.

Last webTraffic

Últimos sitios visitados por el dispositivo detectados y analizados en los últimoscinco minutos.

NOTA: si el dispositivo no genera tráfico web al finalizar los cincominutos, aparecerá el mensaje Idle. Esto generalmente ocurre cuandonadie está utilizando el dispositivo.

Last webattack

Último tipo de ataque y resultados. Para ver detalles adicionales, consulte la pes-taña Log System.

Datos de la pestaña Wireless IntruderA continuación se describen los datos:

Datos Descripción

Wirelessinterface

Lista de interfaces de red no conectadas. Seleccione la interfaz a conectar a la redWi-Fi protegida a la que se quiere acceder.

ESSIDnetwork

Nombre de la red local a la cual acceder.

RCS9.5 - Datos de la pestañaWireless Intruder


Datos Descripción

Attacktype

Tipos de identificación de contraseña disponibles.WPA/WPA2 dictionary attackWEP bruteforce attackWPS PIN bruteforce attackConsulte "Qué debería saber acerca de la identificación de contraseñas de redesWi-Fi" en la página 85

Datos de la pestaña Fake Access PointA continuación se describen los datos:

Datos Descripción

Wireless inter-face

Lista de interfaces de red no conectadas. Seleccione la interfaz que se mostrarácomo red Wi-Fi.

ESSID Nombre de la red ESSID que se pretende crear.

HW address Dirección de hardware de la tarjeta de red del dispositivo.

Access point Nombre del Punto de acceso esperado por el dispositivo.

Datos de la pestaña System ManagementA continuación se describen los datos:

Datos Descripción

Dirección de red La dirección IP del Anonymizer se usa para comunicarse con RCS Server.

Puerto Puerto de comunicación con el Anonymizer.

SD card Tarjeta de memoria para administrar la contraseña codificada del disco.

Modem inter-face

Módem 3G para la conexión del dispositivo.

Notificationemail

Dirección de correo electrónico a la cual se envía la IP del dispositivo cadavez que se conecta a la red.

IMPORTANTE: campo obligatorio para las direcciones IPdinámicas.

Administraciónremota

Protocolo de red para el acceso remoto.

RCS9.5 - Datos de la pestaña Fake Access Point


Otras aplicaciones instaladas en Network Injectors

IntroducciónLos Network Injectors vienen instalados con algunas aplicaciones útiles de terceros.

AplicacionesA continuación se encuentran las aplicaciones instaladas en Tactical Network Injector y NetworkInjector Appliance:

NOTA: para ver las instrucciones de las aplicaciones, consulte los documentosentregados por los fabricantes de las aplicaciones.

Nombre de la apli-cación

Descripción

Disniff Paquete de herramientas que permite interceptar el tráfico de la red

hping3 Generador de tráfico en la red

Kismet Herramienta de monitoreo para las redes Wireless 802.11b

Macchanger Herramienta para cambiar la dirección MAC de la interfaz de red

Nbtscan Detector de red que permite encontrar la información de los nombresNetBIOS

Netdiscover Escáner de dirección de red activa/pasiva por medio de consultas ARP

Ngrep grep de tráfico de red

Nmap Mapeador de red

P0f Herramienta Passive OS fingerprinting

SsIsniff Herramienta de ataque Man-in-the-middle para tráfico de red SSL/TLS

SsIstrip Herramienta de ataque Man-in-the-middle y hijacking para tráfico dered SSL/TLS

Tcpdump Analizador de tráfico de red desde el intérprete de comandos

Wireshark Analizador del tráfico de red

Xprobe Herramienta de identificador de OS remoto

RCS9.5 - Otras aplicaciones instaladas en Network Injectors


Monitoreo del sistema

Presentación

Introducción

El monitoreo del sistema garantiza el control constante del estado de los componentes y el uso dela licencia.

Contenido


Monitoreo del sistema (Monitor) 120Datos de monitoreo del sistema (Monitor) 121

RCS9.5 -Monitoreo del sistema


Monitoreo del sistema (Monitor)

Para monitorear el sis-tema:

l SecciónMonitor


l monitorear el estado del sistema en términos de hardware y softwarel monitorear las licencias usadas en comparación con las que se compraron

Llamada al servicio: póngase en contacto con su gerente de cuenta de HackingTeam sinecesita más licencias.


Área Descripción

1 Menú de RCS.

: indica la cantidad actual de alarmas del sistema que se activaron.


RCS9.5 -Monitoreo del sistema (Monitor)


Área Descripción

3 Lista de componentes de RCS y su estado:

Alarma (genera y envía un correo electrónico al grupo de alerting)

Advertencia

Componente en funcionamiento


Para obtener más informaciónPara ver las descripciones de los elementos de la interfaz Consulte "Elementos y accionescomunes de la interfaz" en la página 12 .Para ver una descripción de los datos en esta ventana consulte "Datos de monitoreo del sistema(Monitor)" abajo .

Datos de monitoreo del sistema (Monitor)

Datos del monitoreo de los componentes del sistemaA continuación se muestran los datos de monitoreo del sistema:

Datos Descripción

TipoNombre

Tipo y nombre de los componentes monitoreados.A continuación se muestran algunos ejemplos:

Anonymizer

Carrier

Collector

Database

Network Controller

Dirección Dirección IP del componente.

Último con-tacto

Fecha y hora de la última sincronización.



Datos Descripción

Estado Estado del componente en la última sincronización:

Alarma: el componente no está funcionando, póngase en contacto con elgrupo de alerting para repararlo de inmediato.

Advertencia: el componente indica una situación de riesgo, póngase encontacto con el administrador del sistema para que realice las revisionesnecesarias.

Componente en funcionamiento.

Proceso deCPU

% de uso de CPU por parte del proceso particular.

Host deCPU

% de uso de CPU por parte del servidor.

Espaciolibre en eldisco

% de espacio libre en el disco.

Datos de monitoreo de la licenciaA continuación se describen los datos de monitoreo de la licencia: para las licencias restringidas,el formato es "x/y", donde "x" es la cantidad de licencias que el sistema utiliza actualmente e "y"es la cantidad máxima de licencias.

PRECAUCIÓN: si todas las licencias están en uso, cualquier agent nuevo quedará en unacola de espera hasta que se libere una licencia o se compren más licencias.

Datos Descripción

Tipo delicencia

Tipo de licencia actualmente en uso para los agents.reusable: una licencia de agent puede volver a utilizarse después de que sedesinstala.oneshot: la licencia de un agent solo es válida para una instalación.

NOTA: la licencia solo puede actualizarse si el usuario tieneautorizaciónModificación de licencias.

Usuarios Cantidad de usuarios actualmente en uso por parte del sistema y cantidadmáxima admitida.

Agent Cantidad de agents actualmente utilizados por el sistema y cantidad máximaadmitida.

RCS9.5 - Datos de monitoreo de la licencia


Datos Descripción

De escritorioMóvil

Cantidad de agents de escritorio y móviles actualmente utilizados por el sistemay cantidades máximas admitidas, respectivamente.

Servidoresdistribuidos

Cantidad de bases de datos actualmente utilizadas por el sistema y cantidadmáxima admitida.

Collectors Cantidad de Collectors actualmente utilizados por el sistema y cantidad máximaadmitida.

Anonymizers Cantidad de Anonymizers actualmente utilizados por el sistema y cantidadmáxima admitida.

RCS9.5 - Datos de monitoreo de la licencia


8Anexo: acciones

Presentación

Introducción

Un agent es un grupo complejo de eventos, acciones, módulos y vectores de instalación. Acontinuación se muestra una lista de acciones simples con una descripción detallada de lasopciones de configuración.

Contenido


Lista de subacciones 125Acción Destroy 125Acción Execute 126Acción Log 127Acción SMS 127Acción Synchronize 128Acción Uninstall 129


Lista de subacciones

Descripción de los datos de las subaccionesA continuación se describen las subacciones:

Datos Descripción

Nombre Nombre arbitrario asignado a una acción

Subacciones Lista de tipos de subacciones

Descripción de tipos de subaccionesNOTA: algunas subacciones pueden perderse debido a que no son compatibles conciertos sistemas operativos.

A continuación se describen los tipos de subacciones disponibles:

Acción Dispositivo Descripción

Destroy de escritorio,móvil

Hace que el dispositivo del target quede inservible.

Execute de escritorio,móvil

Ejecuta un comando arbitrario en la máquina deltarget.

Log de escritorio,móvil

Crea un mensaje personalizado.

SMS (mensaje detexto)

móvil Envía un SMS oculto desde el dispositivo del target.

Synchronize de escritorio,móvil

Ejecuta una sincronización con el Collector.

Uninstall de escritorio,móvil

Elimina el agent del dispositivo.

Acción Destroy

PropósitoLa acción Destroy hace que el dispositivo del target quede inservible de forma temporal opermanente.

RCS9.5 - Lista de subacciones


Parámetros

Nombre Descripción

Permanente El dispositivo queda inservible permanentemente.ADVERTENCIA: es posible que el dispositivo necesitereparación.

Acción Execute

PropósitoLa acción Execute ejecuta un comando arbitrario en el dispositivo del target. Si es necesario, sepuede especificar la configuración del comando y las variables del entorno. El programa seejecutará con los permisos del usuario que esté conectado al sistema en el momento de laejecución.Cualquier resultado del comando se puede ver en la página Comandos. Consulte "Página decomandos" en la página 44 .

ADVERTENCIA: aunque todos los comandos se ejecuten por medio del sistema deocultamiento del agent para ser invisibles, cualquier cambio en el sistema dearchivos (p. ej.: un archivo creado en el escritorio) será visible para el usuario. Presteatención.

ADVERTENCIA: se deben evitar programas que requieran la interacción del usuario oque abran interfaces gráficas.

Sugerencia: utilice aplicaciones iniciadas por una línea de comandos o un archivo enlotes, ya que el agent oculta sus procesos (y la ventana de línea de comandoscorrespondiente).

Referencia a la carpeta del agentA la cadena de comandos se le puede agregar la variable $dir$ del entorno virtual que hacereferencia a la carpeta de instalación del agent (oculta).

RCS9.5 - Parámetros


Datos importantes

Campo Descripción

Comando Comando a ejecutar.Sugerencia: utilice una rutaabsoluta.

Acción Log

PropósitoLa acción Log crea un mensaje personalizado.

NOTA: los mensajes y registros personalizados que provienen de un agent se muestranen la sección Info.Consulte "Página del agent" en la página 40

Parámetros

Nombre Descripción

Texto Texto del mensaje que aparece en la sección Info.

Acción SMS

PropósitoLa acción SMS envía un SMS (mensaje de texto) oculto desde el dispositivo del target con laposición del dispositivo y los datos de la tarjeta SIM.

Parámetros

Nombre Descripción

Número El número de teléfono al que se envía el mensaje.

Position Agrega al mensaje la celda GPS o la posición GSM del target.

SIM Agrega al mensaje la información de la tarjeta SIM del teléfono.

Texto Texto del mensaje.

RCS9.5 - Datos importantes


Acción Synchronize

PropósitoLa acción Synchronize, sincroniza el agent y el RCS Server.El proceso de sincronización está dividido en los siguientes pasos:

Paso Descripción

1 Autentificación recíproca del agent/RCS Server.

2 Sincronización temporal del agent/RCS Server.

3 Eliminación del agent en caso de cierre de la actividad relacionada.

4 Actualización de la configuración del agent.

5 Carga de todos los archivos en la cola "cargar".

6 Descarga de todos los archivos en la cola "descargar".

7 Descarga de toda la evidence recopilada por el agent, con eliminación simultáneasegura.

8 Eliminación segura en el agent de toda la evidence descargada.

Configuración de escritorio

Nombre Descripción

Host Nombre del Anonymizer a conectar para la sincronización. Seleccione elnombre del servidor o ingrese el FQDN (nombre DNS) o dirección IP en elcuadro combinado.

Banda Ancho de banda máximo que se pude usar durante la sincronización.

Retraso mínimo Retraso mínimo en segundos entre el envío de una evidence enviada yotra.

Retraso máximo Retraso máximo en segundos entre el envío de una evidence enviada yotra.

Cuando se com-pleta correc-tamente, se detiene

Si está activado, la cadena de subacciones se interrumpe cuando la sin-cronización se completa correctamente. Las subacciones que per-manecen en cola no se ejecutan.

RCS9.5 - Acción Synchronize


Configuración móvil

Nombre Descripción

Host Nombre o dirección IP del Anonymizer al cual conectarse para lasincronización. Seleccione el nombre del servidor o ingrese el FQDN(nombre DNS) o dirección IP en el cuadro combinado.

Cuando se com-pleta correc-tamente, sedetiene

Si está activado, la cadena de subacciones se interrumpe cuando la sin-cronización se completa correctamente. Las subacciones que permanecenen cola no se ejecutan.

Tipo Internet: sincronización a través de una conexión a Internet.l Forzar Wi-Fi: sincronización a través de una red Wi-Fi. Fuerza una

conexión de datos Wi-Fi con cualquier red Wi-Fi abierta o presente,disponible antes del inicio de la sincronización.

l Forzar Celda: sincronización a través de una red GPRS/UMTS/3G.Fuerza una conexión de datos GPRS/UMTS/3G con el operador detelefonía móvil antes de iniciar la sincronización.

APN: permite especificar las credenciales de acceso al APN que el teléfonopuede usar para recopilar datos.Es útil para evitar que se cobren al target los cargos de tráfico generadospor el agent.

Criterio de selección del tipo de conexión (Windows Phone)Para Windows Phone, el sistema define internamente el tipo de conexión a utilizar de acuerdo conlos parámetros establecidos.Si el dispositivo está configurado para conectarse por Wi-Fi y 3G/4G y hay una conexión Wi-Ficonfigurada, el sistema utilizará la red 3G/4G cuando la pantalla del dispositivo esté apagada y nose esté cargando o, en caso contrario, usará la red Wi-Fi.

Acción Uninstall

PropósitoLa acción Uninstall elimina el agent del sistema del target. Se eliminarán todos los archivos.

NOTA: en un BlackBerry, la eliminación del agent requiere de un reinicio automático.

NOTA: si el dispositivo no tiene privilegios raíz en Android, el usuario debe autorizar ladesinstalación. Para obtener más información sobre cómo saber si cuenta con privilegiosraíz,consulte "Qué debería saber acerca de Android" en la página 156 .

RCS9.5 - Configuración móvil


NOTA: en Windows Phone, la eliminación del agent implica borrar todos los archivosgenerados por el agent, pero los íconos de la aplicación permanecerán en la lista deprogramas.

RCS9.5 - Propósito


9Anexo: eventos

Presentación

Introducción

Un agent es un grupo complejo de eventos, acciones, módulos y vectores de instalación. Acontinuación se muestra una lista de eventos simples con una descripción detallada de lasopciones de configuración.

Contenido


Lista de eventos 132Evento AC 133Evento Battery 133Evento Call 134Evento Connection 134Evento Idle 135Evento Position 135Evento Process 135Evento Quota 136Evento Screensaver 136Evento SimChange 137Evento SMS 137Evento Standby 137Evento Timer 138Evento Window 138Evento WinEvent 138


Lista de eventos

Descripción de los datos de los eventosLos eventos se describen a continuación:

Datos Descripción

Activado Activa o desactiva un evento.Nombre Nombre asignado al evento.

Tipo Lista de tipos de eventos. Consulte la tabla que se muestra a continuación.

Descripción de los tipos de eventosNOTA: algunos eventos pueden perderse debido a que no son compatibles con ciertossistemas operativos.

Los tipos de eventos se describen a continuación:

Evento Dispositivo Activa una acción cuando...

AC móvil el teléfono celular se está cargando.

Battery móvil el nivel de carga de la batería está dentro del rango espe-cificado.

Call móvil hay una llamada entrante o saliente.

Connection de escritorio,móvil

el agent encuentra una conexión de red activa.

Idle de escritorio el usuario no interactúa con la computadora por un períodode tiempo determinado.

Position móvil el dispositivo entra o sale de una posición determinada.

Process de escritorio,móvil

se inicia una aplicación o se abre una ventana en el dis-positivo.

Quota de escritorio el espacio que la evidence ocupa en el disco del dispositivoexcede el límite establecido.

Screensaver de escritorio el protector de pantalla se abre en el dispositivo del target.

SimChange móvil se cambia la tarjeta SIM.

SMS (mensajede texto)

móvil el dispositivo recibe un mensaje de texto del número indi-cado.

RCS9.5 - Lista de eventos


Evento Dispositivo Activa una acción cuando...

Standby móvil El dispositivo está en modo de espera.

Timer de escritorio,móvil

transcurre un intervalo de tiempo especificado.

Ventana de escritorio se abre una ventana.

WinEvent de escritorio el sistema operativo registra un evento de Windows.

Evento AC

PropósitoEl evento AC activa una acción cuando el teléfono celular se está cargando.

Evento Battery

PropósitoEl evento Battery activa una acción cuando el nivel de carga de la batería está dentro del rangoespecificado.

Sugerencia: para reducir el impacto en el uso de la batería, es mejor asociar el eventoBattery, establecido entre 0%-30%, a las acciones Iniciar y Detener crisis. De estamanera, si el nivel de carga de la batería desciende por debajo del valor establecido, sesuspenderán las actividades del agent que consuman más energía.

ADVERTENCIA: ¡el módulo Crisis se puede configurar para anular la sincronización!

Parámetros

Nombre Descripción

Mínimo Porcentaje mínimo de carga de la batería. Un porcentaje superior a este límite acti-vará un evento.

Máximo Porcentaje máximo de carga de la batería. Un porcentaje inferior a este límite acti-vará un evento.

RCS9.5 - Evento AC


Evento Call

PropósitoEl evento Call activa una acción cuando hay una llamada entrante o saliente.

Parámetros

Nombre Descripción

Número número de teléfono de quien llama o de quien recibe la llamada (o parte de este).Sugerencia: déjelo en blanco para que se active con cualquier número.

Evento Connection

PropósitoEl evento Connection activa una acción cuando el agent encuentra una red de conexión activa.Para un dispositivo de escritorio, escriba la dirección de destino de la conexión.Para un dispositivo móvil, el evento activa una acción en el momento en que el dispositivo obtieneuna dirección IP válida en cualquier interfaz de red (p. ej.: Wi-Fi, ActiveSync, GPRS/3G+), y cancelala acción cuando finalizan todas las conexiones.

Configuración de escritorio

Nombre Descripción

Dirección IP Dirección IP de destino para la conexiónEscriba 0.0.0.0 para indicar cualquier dirección.

NOTA: no se tienen en cuenta las conexiones con direcciones locales enla misma subred del target.

Máscara dered

Máscara de red aplicada a la dirección IP.

Puerto Puerto usado para identificar a la conexión.

RCS9.5 - Evento Call


Evento Idle

PropósitoEl evento Idle activa una acción cuando el usuario no interactúa con la computadora por unperíodo de tiempo determinado.

Parámetros

Nombre Descripción

Hora Segundos de inactividad. El evento se activa cuando finaliza este intervalo de tiempo.

Evento Position

PropósitoEl evento Position activa una acción cuando el target entra o sale de una determinada posición.La posición puede estar definida por coordenadas GPS y un rango o por el ID de una celda GSM.

Parámetros

Nombre Descripción

Tipo Tipo de posición a utilizar.GPS

l Latitud, Longitud: coordenadasl Distancia: rango a partir de las coordenadas.

Celda GSM (todos los sistemas operativos, excepto Windows Phone)l País, Red, Área, ID: datos de la celda GSM. Ingrese '*' para ignorar un campo.

Por ejemplo, si se completa el campo País y los otros tres campos se com-pletan con '*', el evento se activará en el momento en que el dispositivo entreo salga del país especificado.

Evento Process

PropósitoEl evento Process activa una acción cuando se inicia una aplicación o se abre una ventana en eldispositivo.

RCS9.5 - Evento Idle


Parámetros

Nombre Descripción

Tipo Nombre del proceso: el evento activa una acción cuando se inicia el procesoespecificado.Título de la ventana: el evento activa una acción cuando se mantiene la atención enuna ventana determinada.

Patrón Nombre o parte del nombre del programa o del título de la ventana.Sugerencia: use caracteres especiales al especificar un programa (p. ej.:"*Calculadora*")

Enfoque (solo para dispositivos de escritorio) Al seleccionarlo, el evento activa una acción solocuando el proceso o ventana se encuentran en primer plano.

Evento Quota

PropósitoEl evento Quota activa una acción cuando el espacio del disco del dispositivo que se utiliza paraalmacenar la evidence recopilada excede el límite establecido.Cuando el espacio del disco se encuentra por debajo del límite, la acción será cancelada en lasiguiente sincronización.

Parámetros

Nombre Descripción

Quota Espacio en el disco que se usará para almacenar la evidence recopilada.

Evento Screensaver

PropósitoEl evento Screensaver activa una acción cuando se enciende el protector de pantalla en eldispositivo del target.



Evento SimChange

PropósitoEl evento SimChange activa una acción cuando se cambia la tarjeta SIM.

Evento SMS

PropósitoEl evento SMS activa una acción cuando se recibe un mensaje de texto específico de ciertonúmero. El mensaje no se mostrará entre los mensajes recibidos del teléfono.

ADVERTENCIA: los mensajes entrantes solo se eliminan en BlackBerry OS 5.x.

NOTA: el mensaje recibido no se mostrará en el dispositivo del target.

Parámetros

Nombre Descripción

Número Número de teléfono del remitente del SMS. Cualquier SMS de este númeropermanecerá oculto.

Texto Parte del texto del mensaje que debe coincidir.IMPORTANTE: la cadena no distingue entre mayúsculas y minúsculas.

Evento StandbyEl evento Standby activa una acción cuando el dispositivo entra en modo de reposo.

RCS9.5 - Evento SimChange


Evento Timer

PropósitoEl evento Timer activa una acción en los intervalos indicados.Cuando el evento ocurre, se ejecuta la acción asociada a la acción Iniciar.Durante el período que transcurre entre el inicio y la parada del evento, la acción Repetir serepite en el intervalo especificado por el conector asociado.Cuando el evento termina, se ejecuta la acción Detener.

Parámetros

Nombre Descripción

Tipo Tipo de intervalo:l Loop: activa una acción y la repite de forma indefinida en cada intervalo,

según lo que se especifique en la acción Repetir.l Daily: activa una acción diaria a las horas especificadas en Desde y Hastal Date: activa una acción en el período indicado en Desde y Hasta

NOTA: seleccione Siempre para una acción continua.

l AfterInst: activa una acción después de cierta cantidad de días (Días) a partirde la instalación del agent.

Evento Window

PropósitoEl evento Ventana activa una acción cuando se abre una ventana.

Evento WinEvent

PropósitoEl eventoWinEvent activa una acción cuando el sistema operativo registra un evento Windows.

RCS9.5 - Evento Timer


Parámetros

Nombre Descripción

ID del Evento ID del evento Windows.

Origen Origen del evento Windows (p. ej.: sistema, aplicación)



10Anexo: módulos

Presentación

Introducción

Un agent es un grupo complejo de eventos, acciones, módulos y vectores de instalación. Acontinuación se muestra una lista de módulos simples con una descripción detallada de lasopciones de configuración.

Contenido


Lista de módulos 141Módulo Addressbook 143Módulo Application 143Módulo Calendar 143Módulo Call 143Módulo Camera 144Módulo Chat 144Módulo Clipboard 145Módulo Conference 145Módulo Crisis 145Módulo Device 147Módulo File 147Módulo Keylog 148Módulo Livemic 149Módulo Messages 149Módulo Mic 150Módulo Money 151Módulo Mouse 151Módulo Password 152Módulo Position 152Módulo Screenshot 153Módulo URL 153


Lista de módulos

NOTA: algunos módulos pueden perderse debido a que no son compatibles con ciertossistemas operativos.

A continuación se describen los módulos de registro:

Módulo Configuración Dispositivo Registro...

Accessed files básica de escri-torio

documentos o imágenes que abrió el target.

Addressbook avanzada de escri-torio, móvil

contactos.

Application avanzada de escri-torio, móvil

aplicaciones usadas.

Calendar avanzada de escri-torio, móvil

calendario.

Call avanzada de escri-torio, móvil

llamadas (p. ej.: GSM y VoIP).

Calls básica de escri-torio, móvil

llamadas (p. ej.: teléfono, Skype, MSN).

Camera básica, avan-zada

de escri-torio, móvil

Imágenes de la cámara web.

Chat avanzada de escri-torio, móvil

chat (p. ej.: Skype, BlackBerry Messenger).

Clipboard avanzada de escri-torio, móvil

información copiada en el portapapeles.

Contacts andCalendar

básica de escri-torio, móvil

contactos y calendario.

Dispositivo avanzada de escri-torio, móvil

información del sistema.

File avanzada de escri-torio

archivos abiertos por el target.

Keylog avanzada de escri-torio, móvil

teclas presionadas en el teclado.

Keylog, Mouseand Password

básica de escri-torio

teclas presionadas en el teclado, clics delmouse y contraseñas guardadas.

Messages avanzada de escri-torio, móvil

correos electrónicos, SMS, MMS.

RCS9.5 - Lista de módulos


Módulo Configuración Dispositivo Registro...

Messages básica de escri-torio, móvil

correos electrónicos, SMS y chat.

Mic avanzada de escri-torio, móvil

audio de un micrófono.

Money avanzada de escri-torio

información sobre el monedero digital de crip-todivisas (p. ej.: Bitcoin).

Mouse avanzada de escri-torio

clics del mouse.

Contraseña avanzada de escri-torio, móvil

contraseñas guardadas.

Position básica, avan-zada


posición geográfica del target.

Screenshots básica, avan-zada


ventanas abiertas en la pantalla del target.

URL avanzada de escri-torio, móvil

URL visitada.

Visited websites básica de escri-torio, móvil

direcciones URL visitadas.

A continuación se describen otros tipos de módulos:

Módulo Configuración Dispositivo Acción

Conference avanzada móvil Crea una conferencia entre 3 per-sonas.

Crisis avanzada de escri-torio,móvil

Reconoce situaciones de crisis(p. ej.: un analizador de paquetesejecutándose). Puede desactivartemporalmente las sincronizacionesy todos los comandos.

Infección avanzada de escri-torio

Eliminado a partir de la versión 8.4de RCS.

Livemic avanzada móvil Escucha las conversaciones entiempo real.

Online Syn-chronization

básica de escri-torio,móvil

Sincroniza el agent con RCS parapermitir recibir evidence y res-tablecer el agent.

RCS9.5 - Lista de módulos


Módulo Addressbook

PropósitoEl módulo Addressbook registra toda la información encontrada en la agenda del dispositivo. Laversión de escritorio del dispositivo importa los contactos de Outlook, Skype y otras fuentes.

Módulo Application

PropósitoEl módulo Application registra el nombre y la información de los procesos abiertos y cerrados deldispositivo del target.La evidence mostrará todas las aplicaciones usadas por el target en orden cronológico.

Módulo Calendar

PropósitoEl módulo Calendar registra toda la información encontrada en el calendario del dispositivo deltarget. La versión de escritorio importa el calendario de Outlook y otras fuentes.

Módulo Call

PropósitoEl módulo Call captura archivos de audio e información (hora de inicio, duración, persona quellamó y números a los que se llamó) para todas las llamadas que el target hizo o recibió.En un dispositivo de escritorio, el módulo Call intercepta todas las conversaciones de voz en lasaplicaciones compatibles.En un dispositivo móvil, el módulo Call intercepta todas las llamadas (GSM y VoIP).

Datos importantesA continuación se describen los datos:

RCS9.5 -Módulo Addressbook


Campo Descripción

Activar grabaciónde llamadas

(solo dispositivos móviles) Activa la grabación de llamadas. Si está des-activado, no se grabará el audio de las llamadas.

Tamaño del búfer Tamaño del búfer de obtención usado para los sectores de audio.

Calidad Calidad de audio (1=máxima compresión, 10=mejor calidad).

Módulo Camera

PropósitoEl módulo Camera captura una imagen de la cámara integrada.

ADVERTENCIA: la captura de una imagen en una computadora de escritorio causaque el LED de la cámara destelle.


Campo Descripción

Calidad Calidad de la imagen (baja, media, alta).

Módulo Chat

PropósitoEl módulo Chat registra todas las sesiones de chat del target. Cada mensaje se captura como unapieza única de evidence.

IMPORTANTE: para Android, se requieren privilegios raíz para capturar chat.Consulte "Qué debería saber acerca de Android" en la página 156 .

IMPORTANTE: para que este módulo se inicie cuando el dispositivo se reinicia enBlackBerry, el teléfono debe estar en espera por varios minutos (luz de fondoapagada).

RCS9.5 -Módulo Camera


Módulo Clipboard

PropósitoEl módulo Clipboard guarda el contenido del portapapeles en formato de texto.

Módulo Conference

PropósitoEl módulo Conference llama al número indicado por medio de la creación de una conferenciacuando el target hace una llamada. El número del receptor puede escuchar la conversación entiempo real.

IMPORTANTE: el funcionamiento del módulo depende de las características deloperador telefónico. El target podría enterarse de que está en conferencia si eloperador telefónico agrega una señal acústica mientras espera que inicie la llamada.


Campo Descripción

Número número de teléfono del receptor

Módulo Crisis

Comportamiento en dispositivos de escritorioEl modulo Crisis se activa (automáticamente o mediante una acción específica) y reconocesituaciones peligrosas en la máquina que pueden delatar la presencia del agent en el dispositivo(p. ej.: analizador de paquetes ejecutándose). Puede desactivar temporalmente lassincronizaciones y todos los comandos.Este módulo aumenta su capacidad de permanecer oculto frente al software de protección.

NOTA: Crisis se puede activar de forma predeterminada en el dispositivo de escritoriopara que el agent pueda detectar automáticamente situaciones peligrosas, y actuar enconsecuencia (p. ej.: actuar sigilosamente).

RCS9.5 -Módulo Clipboard


Comportamiento en dispositivos móvilesEl módulo Crisis se utiliza para suspender actividades que requieran un mayor uso de la energíade la batería. Según su configuración, este módulo puede desactivar temporalmente algunasfunciones.En un dispositivo móvil, el módulo Crisis debe iniciarse explícitamente con una acción específica(p. ej.: el agent se inicia cuando el nivel de la batería es demasiado bajo) y se detiene cuandofinaliza la acción anormal.

NOTA: este módulo no crea evidence.

Datos importantes de los dispositivos de escritorioEn dispositivos de escritorio, la configuración predeterminada no debe cambiarse a menos que losugiera el equipo de servicio técnico de RCS.

Campo Descripción

Inhibir red Inhibe la sincronización mientras hay procesos potencialmente peligrosos.

Inhibidores (dered)

Lista de procesos que evitarán la sincronización mientras se ejecutan.

Inhibir hooking Inhibe el hooking de un programa mientras un proceso potencialmente peli-groso está funcionando.

Inhibidores(hooking)

Lista de procesos que evitarán el hooking mientras se ejecutan.

Process Proceso a agregar a la lista.

Datos importantes de los dispositivos móvilesEn la versión para dispositivos móviles, se pueden especificar las funciones a agregar:

Campo Descripción

Micrófono si está seleccionado, impide la grabación de audio de Mic

Calls si está seleccionado, impide la grabación de audio de Call

Camera si está seleccionado, impide la toma de fotos de Camera

RCS9.5 - Comportamiento en dispositivos móviles


Campo Descripción

Position si está seleccionado, impide el uso de GPS

Sincronización si está seleccionado, impide la sincronizaciónAdvertencia: ¡operaciones muy arriesgadas! ¡Antes de impedir lasincronización, póngase en contacto con el servicio técnico deHackingTeam! Puede perder permanentemente a su agent.

Módulo Device

PropósitoEl módulo Device registra información del sistema (p. ej.: tipo de procesador, memoria en uso,sistema operativo instalado, privilegios raíz). Puede ser útil para monitorear el uso de la memoriadel disco y recuperar la lista de aplicaciones instaladas.

NOTA: para Android, si el dispositivo tiene privilegios raíz, el tipo de evidence Device loindica como root:yes.

Datos importantes de los dispositivos móvilesA continuación se describen los datos:

Campo Descripción

Recupera la lista de apli-caciones

Además de la información del sistema, registra la lista de apli-caciones instaladas.

Módulo File

PropósitoEl módulo File registra todos los archivos abiertos en la computadora del target. También sepuede capturar el archivo cuando se abre.


RCS9.5 -Módulo Device


Campo Descripción

Inclusiones delfiltro

Lista de extensiones de archivo que se registrarán. Opcionalmente puedeespecificar el proceso para registrar el archivo solo cuando se estéejecutando o cuando ese proceso lo abra.

Exclusiones delfiltro

Lista de extensiones que no se registrarán. Opcionalmente puede especificarel proceso para ignorar el archivo solo cuando se esté ejecutando o cuandoese proceso lo abra.

Máscara Cadena para filtrar el proceso y el archivo que se van a registrar o a ignorar.SintaxisProceso|FiltroEjemplo de funciones que se usan para registrar"skype.exe|*.*""word.exe|*John*.doc"Ejemplo de funciones que se usan para ignorar"skype.exe|*.dat"

Registra la rutay el método deacceso

Registra el tipo de ruta del archivo y acceso (p. ej.: lectura, escritura)

Capturar con-tenido delarchivo

Si está activado, el archivo se copia y se descarga en el primer acceso.

Tamañomáximo/mínimo

Máximo y mínimo tamaño admitido para el archivo a descargar.

Más recienteque

Fecha mínima de creación del archivo a descargar.

Módulo Keylog

PropósitoEl módulo Keylog registra todas las teclas presionadas en el dispositivo del target.

NOTA: es compatible con todos los caracteres Unicode a través de IME.

RCS9.5 -Módulo Keylog


Módulo Livemic

PropósitoEl módulo Livemic le permite escuchar una conversación en curso en tiempo real.

PRECAUCIÓN: este módulo se proporciona "tal cual está" y su uso puede ser peligroso.Cada dispositivo funciona de manera diferente. Recomendamos que realice pruebasantes de usarlo en el campo.


Campo Descripción

Número Cantidad de teléfonos usados para escuchar. Debe incluir el código internacional delpaís, p. ej.: "+341234567890".

ADVERTENCIA: no oculta el ID del dispositivo que llama, y desactiva elmicrófono al escuchar la conversación.

Módulo Messages

PropósitoEl móduloMessages registra todos los mensajes recibidos y enviados por el target. Este móduloregistra:

l correo electrónicol SMS (solo para dispositivos móviles)l MMS (solo para dispositivos móviles)

IMPORTANTE: para Android se requieren privilegios raíz. Consulte "Qué debería saberacerca de Android" en la página 156 .


RCS9.5 -Módulo Livemic


Campo Descripción

Activado Activa el registro.

Desde Registra los mensajes a partir de la fecha indicada.

Hasta Registra los mensajes hasta la fecha indicada.

Tamaño máximo Tamaño máximo del mensaje a registrar.

Módulo Mic

PropósitoEl móduloMic graba el audio del ambiente a través del micrófono del dispositivo.

IMPORTANTE: no encienda el micrófono para grabar llamadas de datos (p. ej.: Skype,Viber) sin haber probado completamente el modelo del teléfono con la mismaversión de sistema operativo. Puede desactivar el audio del cliente y hacer que laaplicación no pueda utilizarse.

IMPORTANTE: con algunos sistemas operativos el módulo no se activa durantellamadas.

NOTA: para Windows Phone, en algunos modelos de dispositivos, el inicio y el final de lagrabación pueden estar acompañados de una señal de audio.

Datos importantes de los dispositivos de escritorioA continuación se describen los datos:

RCS9.5 -Módulo Mic


Campo Descripción

Silencio entrevoces

Cantidad máxima de segundos de silencio admitidos en la grabación.Después del período establecido, el agent deja de grabar y se reiniciacuando se vuelven a recibir sonidos.

ADVERTENCIA: si el valor es muy bajo, la grabación excluirátodos los silencios y la conversación fluirá sin pausas. Si el valores muy alto, la grabación incluirá todos los silencios y laconversación será demasiado larga.

Reconocimientode voz

NOTA: no es compatible con iOS, BlackBerry, Android y Symbian,Windows Phone.

Valor para identificar la voz humana y excluir el ruido de fondo de lagrabación.

ADVERTENCIA: 0.2-0.28 es el intervalo sugerido para identificarla voz humana. Los valores más altos se adaptan mejor a lasvoces femeninas pero pueden incidir en la grabación del ruidode fondo.

Detectar auto-máticamente

Si está activado, el agent intentará cambiar la configuración del mezcladorde audio (micrófono encendido/apagado, selección de línea y volumen)para optimizar la calidad de grabación de audio, permitiendo volúmenesmás bajos o menos interrupciones en la grabación.

Módulo Money

PropósitoEl módulo Money registra información en el monedero digital de criptodivisas del target (p. ej.:Bitcoin). Específicamente, registra:

l la dirección o direcciones del targetl la lista de transacciones completasl la agenda del target con las direcciones de las transaccionesl el saldo

Módulo Mouse

PropósitoEl módulo Mouse captura la imagen de una pequeña área de la pantalla alrededor del punterodel mouse, con cada clic.

RCS9.5 -Módulo Money


Ayuda a burlar teclados virtuales que se usan para evitar el registro de teclas presionadas.Consulte "Módulo Keylog" en la página 148 .


Campo Descripción

Ancho dimensiones de la imagen capturada

Alto

Módulo Password

PropósitoEl módulo Password registra todas las contraseñas guardadas en las cuenta del usuario. Serecopilan las contraseñas guardadas del navegador, los mensajes instantáneos y los clientes deweb-mail.

Módulo Position

PropósitoEl módulo Position registra la posición del dispositivo por medio del sistema GPS, la celda GSM ola información de Wi-Fi.

Datos importantes de los dispositivos móvilesA continuación se describen los datos:

Campo Descripción

GPS Encuentra la posición con información del GPS.

Celda Encuentra la posición con información de la celda GSM o CDMA.

Wi-Fi Encuentra la posición con el BSSID de una estación Wi-Fi.

NOTA: para Windows Phone, el sistema establece internamente la forma más eficientede encontrar la posición del dispositivo en un momento determinado,independientemente de los parámetros establecidos.

RCS9.5 - Datos importantes


Módulo Screenshot

PropósitoEl módulo Screenshot captura una imagen de pantalla del dispositivo del target.

IMPORTANTE: para Android, se requieren privilegios raíz para tomar capturas depantalla. Consulte "Qué debería saber acerca de Android" en la página 156 .


Campo Descripción

Calidad Calidad final de la imagen capturada.Baja: peor calidad de imagen, máxima compresiónAlta: mejor calidad de imagen, mínima compresión

Sugerencia: deje el valor predeterminado.

Solo la ventana enprimer plano

(solo para dispositivos de escritorio) Captura una imagen instantánea dela ventana que está en primer plano.

Módulo URL

PropósitoEl módulo URL registra el nombre de los sitios web visitados por el navegador del target.

IMPORTANTE: para que este módulo se inicie cuando el dispositivo se reinicia enBlackBerry, el teléfono debe estar en espera por varios minutos (luz de fondoapagada).

RCS9.5 -Módulo Screenshot


11Apéndice: vectores de instalación

Presentación

Introducción

Un agent es un grupo complejo de eventos, acciones, módulos y vectores de instalación. Acontinuación se muestra una lista de vectores de instalación simples con una descripcióndetallada de las opciones de configuración.

Contenido


Lista de vectores de instalación 155Qué debería saber acerca de Android 156Obtención de un certificado Code Signing 157Vector Exploit 157Vector Installation Package 158Preparación de Installation Package para Windows Phone 163Vector Local Installation 167Vector Melted Application 168Vector Network Injection 169Vector Offline Installation 170Vector Persistent Installation (computadoras de escritorio) 171Vector Persistent Installation (dispositivos móviles) 172Vector QR Code/Web Link 174Vector Silent Installer 175Vector U3 Installation 175Vector WAP Push Message 176


Lista de vectores de instalaciónA continuación se muestra una lista de vectores con los tipos de dispositivos y sistemas operativoscompatibles:

Vector deinstalación

Dispositivo Sistema ope-rativo

Descripción

Exploit De escri-torio

OS X, Windows Agrega el agent a cual-quier documento (elformato del docu-mento puede depen-der de los exploitsdisponibles).

Móvil iOS

InstallationPackage

Móvil Android,BlackBerry, iOS,Symbian,Windows PhoneWinMobile

Crea un instaladorautomático con elagent.

Local Ins-tallation

Móvil BlackBerry, iOS,WinMobile

Instala el agent en eldispositivo del target,por USB o a través deuna tarjeta de memo-ria SD/MMC.

MeltedApplication

De escri-torio

Linux, OS X, Win-dows Agrega el agent a cual-

quier archivo eje-cutable.Móvil Android, Sym-

bian, WinMobile

NetworkInjection

De escri-torio

Linux, OS X, Win-dows

Enlace a la página decreación de reglas deinyección. Consulte"Administración de losNetwork Injector " enla página 68 .

Móvil -

Offline Ins-tallation

De escri-torio

Multiplatforma Crea un archivo ISOpara la generación deun CD/DVD/USB dearranque que se uti-lizará en la com-putadora que estáapagada o hibernando

RCS9.5 - Lista de vectores de instalación


Vector deinstalación

Dispositivo Sistema ope-rativo

Descripción

PersistentInstallation

De escri-torio

Windows Introduce el agent alfirmware de la com-putadora del target.

QRCode/WebLink

Móvil Multiplatforma,Android, Bla-ckBerry, Sym-bian, WinMobile

Genera un código QRpara sitios web oreportes, que instalaráel agent si el target lofotografía.

Silent Ins-taller

De escri-torio

Linux, OS X, Win-dows

Crea un archivo eje-cutable vacío que,cuando se ejecuta enel dispositivo del tar-get, instala el agent.

U3 Ins-tallation

De escri-torio

Windows Crea un paquete quese instalará por mediode una llave U3. Lallave U3 que instalaautomáticamente elagent en el dispositivodel target al inser-tarlo.

Wap PushMessage

Móvil Multiplatforma,Android, Bla-ckBerry, Sym-bian, WinMobile

Envía un mensaje WAPque instalará el agentsi el target acepta elmensaje.

Qué debería saber acerca de Android

Privilegios raízEl sistema operativo Android requiere privilegios raíz para ejecutar algunas aplicaciones en susdispositivos.El agent de un dispositivo Android requiere privilegios raíz para obtener, por ejemplo:

l capturar chat, consulte "Módulo Chat" en la página 144l capturar correos electrónicos, consulte "Módulo Messages" en la página 149l tomar capturas de pantalla, consulte "Módulo Screenshot" en la página 153l mantenerse actualizado, consulte "Página del agent" en la página 40 , "Página del target"

en la página 26

Obtener privilegios raíz

RCS9.5 - Qué debería saber acerca de Android


Los privilegios raíz se pueden obtener automáticamente sin ninguna interacción en el dispositivo.De todas formas, la obtención automática no está garantizada en todos los casos. En caso de quela obtención automática falle y la opción Interacción necesaria del usuario haya sidoseleccionada durante la recopilación del agent, el agent requerirá que el usuario obtengamanualmente los privilegios del dispositivo si así lo permite el sistema operativo.Verificar los privilegios raízPara verificar los privilegios raíz en el dispositivo del target, active el módulo Device.El estado de raíz se indica en el tipo de evidence Device; si se obtuvieron privilegios raíz, semostrará root:yes.

Obtención de un certificado Code Signing

IntroducciónPara poder usar las funciones de firma del código disponibles durante la compilación del vector,es necesario obtener un certificado Code Signing emitido por una autoridad de certificaciónreconocida.La mayoría de las autoridades de certificación ofrecen certificados Code Signing, incluidas:

l Verisign (http://www.verisign.com)l Thawte (http://www.thawte.com)l GoDaddy (http://www.godaddy.com)

Instalación de un certificado Code SigningIngrese el siguiente comando en la carpeta C:\RCS\DB\bin del sistema backend:> rcs-db-config –-sign-cert ArchivoDelCertificado --sign-passContaseñaDelCertificado

Resultado: el certificado se instalará en el sistema y se podrá utilizar la función de firma delcódigo.

Vector Exploit

PropósitoLa compilación crea un instalador que, al abrirlo en el dispositivo del target, explota lavulnerabilidad de un programa específico. Se puede experimentar diversos comportamientos,dependiendo del Exploit específico (p. ej. el programa que se está ejecutando aborta).

Instalación de dispositivos de escritorioSe crea el instalador y el paquete de los archivos de herramientas se guardan automáticamenteen la carpeta C:\RCS\Collector\public. Estos archivos pueden utilizarse para diversos tipos deataques (p. ej.: a través de un enlace a un sitio web).

RCS9.5 - Obtención de un certificado Code Signing


http://www.verisign.com/

http://www.thawte.com/

http://www.godaddy.com/

Instalación de dispositivos móvilesSe debe copiar el instalador en el dispositivo y ejecutar install.sh desde la carpeta copiada.

IMPORTANTE: se debe desbloquear el dispositivo.

El paquete de archivos de herramientas se copia automáticamente a la carpetaC:\RCS\Collector\public. Estos archivos pueden utilizarse para diversos tipos de ataques (p. ej.: através de un enlace a un sitio web).

Ejemplo de comandos para copiar el instalador en un dispositivo con iOSmymac>scp –r ./RCS_IPHONE [email protected]:/tmpmymac>ssh [email protected]>cd /tmp/RCS_IPHONEmyiphone>sh install.sh

Eliminar los archivos que ya no están en usoLos paquetes guardados en la carpeta C:\RCS\Collector\public se pueden eliminar utilizando lafunción Administrador de archivos, en la sección System, Frontend.

Parámetros

Nombre Descripción

Tipo dearchivo

Tipo de archivo a infectar (p. ej.: .PDF).

Seleccionar unExploit

Nombre completo de la aplicación usada por el target para abrir el archivo(p. ej.: Adobe Acrobat Reader 10).

URLDocumento...

Parámetros que identifican al archivo a infectar.URL: conexión a un Anonymizer donde se guardó el instalador.Documento: para seleccionar el archivo a infectar.

Vector Installation Package

PropósitoLa compilación crea un archivo ejecutable que instala el agent en modo silencioso. Es posiblecargar el archivo ejecutable en el dispositivo a través de cualquiera de estos métodos:

RCS9.5 - Instalación de dispositivos móviles


l descarga desde URLl enlace por SMS, MMS o correo electrónicol directamente desde la computadora por cable USBl (solo para Windows Mobile) copia directa en tarjeta SDl (solo para Windows Phone) archivo adjunto por correo electrónico

Notas para los sistemas operativos Android (preparación del vector)La compilación genera dos vectores APK (Android Application Package File):

l ApplicationName.v2.apk: vector para Android 2.xl ApplicationName.default.apk: vector para Android 3.x y 4.x

Notas para los sistemas operativos Android (instalación)A continuación se describe el procedimiento de instalación:

Paso Acción

1 Active la opción Orígenes desconocidos en las opciones de configuración deldispositivo (usualmente en Configuración, Aplicaciones). Después de la instalaciónes posible desactivar esta opción.

NOTA: si no se activa esta opción, durante la instalación aparecerá unasolicitud de autorización para instalar una aplicación que no es de AndroidMarket.

2 Si el vector contiene los módulos Screenshot, Chat y Messages, es necesario obtenerlos privilegios raíz del dispositivo. Consulte "Qué debería saber acerca de Android" enla página 156

3 Ejecute el vector APK apropiado en el dispositivo.

4 Durante la instalación del vector APK, acepte los permisos solicitados por el agent.

5 Para Android 3.x y 4.x, haga clic en Abrir para iniciar el vector, de lo contrario elvector no se instalará.

IMPORTANTE: el vector APK predeterminado para Android 3.x y 4.xaparecerá como una aplicación normal llamada DeviceInfo, que muestrala información del dispositivo.

6 Durante la ejecución del vector, si está activada la opción Solicitar privilegios deadministrador, podría aparecer una solicitud para obtener privilegios raíz.

RCS9.5 - Notas para los sistemas operativos Android (preparación del vector)


Notas para los sistemas operativos Windows Phone (preparación del vector)La compilación de una factory con el vector Installation Package para el sistema operativoWindows Phone crea el archivo .zip NombreDeFactory_winphone_silent.zip en la carpetaDescarga de RCS que contiene dos archivos:

l NombreDeLaAplicación.xap: paquete con las aplicaciones que se instalarán en el dis-positivo del target

l NombreDeLaAplicación.aetx: certificado de la empresa que instalará la aplicación

IMPORTANTE: para que la compilación se realice correctamente, siga elprocedimiento para cargar los archivos necesarios en RCS. Consulte "Preparación deInstallation Package para Windows Phone" en la página 163

Notas para los sistemas operativos Windows Phone (instalación)La aplicación MyPhoneInfo, que se utiliza para instalar el agent, se incluye en el paquete con lasaplicaciones .xap. Para la instalación no es necesario desbloquear el teléfono.Los archivos .xap y .aetx se pueden enviar al dispositivo del target:

l como archivos adjuntos en un correo electrónico;l como enlaces por correo electrónico, SMS o en una página web

Para la instalación por Internet, el servicio Web debe soportar los tipos MIME para los archivos.xap y .aetx; las siguientes instrucciones deben estar en los archivos mime.types:

l application/x-silverlight-app xapl application/x-aetx aetx

Realice el siguiente procedimiento para ambos modos:

Paso Acción

1 Abra el archivo NombreDeLaAplicación.aetx.IMPORTANTE: este es el certificado que debe abrirse siempre primero.

2 Para responder las preguntas que se muestran haga clic en Agregar.

3 Abra el archivo NombreDeLaAplicación.xap.

4 Responda las preguntas que se muestran haciendo clic en Instalar : la aplicaciónMyPhoneInfo se instalará en el teléfono.

RCS9.5 - Notas para los sistemas operativos Windows Phone (preparación del vector)


Paso Acción

5 Desde la lista de aplicaciones, abra la aplicación MyPhoneInfo cuando menos una vez.

6 Cierre MyPhoneInfo: el agent está listo.IMPORTANTE: si sale de la aplicación sin cerrarla, la aplicación, y por lotanto el agent, quedarán suspendidos. El agent solo se inicia cuando laaplicación está cerrada o el teléfono se vuelve a encender.

El agent se comunica con RCS Server siempre y cuando la aplicación MyPhoneInfo esté instaladaen el dispositivo y el dispositivo esté encendido. Si no hay ninguna conexión de datos móvildisponible, el agent solo podrá comunicarse con RCS Server cuando el usuario utilice el teléfono ocuando el teléfono esté conectado a una computadora o a un cargador.

NOTA: cuando el dispositivo está encendido, el agent se tarda 30 minutos en restablecerla comunicación con RCS Server. Los 30 minutos están garantizados si existen conexionesde datos y Wi-Fi en el dispositivo. De lo contrario, podría demorar más.

Notas para los sistemas operativos Windows MobileEs posible especificar un instalador CAB existente al cual se añadirá el agent.Si no se especifica el CAB, el sistema utilizará un CAB predeterminado que no instala nada.

Notas para los sistemas operativos BlackBerryPara permitir que el agent se descargue en un BlackBerry, extraiga el archivo zip creado en unservidor web al que el dispositivo tenga acceso.

NOTA: el servidor web debe soportar los tipos MIME para los archivos .jad y .cod,.text/vnd.sun.j2me.app-descriptor y application/vnd.rim.cod.respectivamente. La carpeta Public del Collector ejecuta esta función de formaautomática.

Una vez que el instalador se ejecuta en el dispositivo, acepte los permisos solicitados por el agent.

Notas para los sistemas operativos SymbianIMPORTANTE: para Symbian es necesario obtener el certificado.

RCS9.5 - Notas para los sistemas operativos Windows Mobile


Parámetros de Android, WinMobile, Windows Phone

Nombre Descripción

Nombre de laaplicación

Nombre de la aplicación (visible para el target)

Solicitud deinteracción delusuario

(solo para Android) Si la obtención automática no funciona, esta opciónactiva la solicitud del usuario para obtener privilegios raíz del dispositivo deforma manual.

ADVERTENCIA: la solicitud se mostrará en el dispositivo deltarget.

Parámetros para BlackBerry

Nombre Descripción

Nombre de la apli-cación

Nombre del instalador (visible para el target)

Nombre (solo para BlackBerry) Datos de la aplicación usados para "ocultar" elagent.

Descripción

Vendedor

Versión

Parámetros para Symbian

Nombre Descripción

Nombre de la aplicación Nombre de la aplicación (visible para el target)

Certificado vinculado a IMEI Certificado del dispositivo.

Llave vinculada al certificado Llave del certificado.

Edición S60 Versión del sistema operativo.

Configuración de Symbian Parámetros:l UID 1-6: lista de los UID asociados con el

certificadol Llave: archivo de la llave

RCS9.5 - Parámetros de Android, WinMobile, Windows Phone


Preparación de Installation Package para Windows Phone

IntroducciónPara los dispositivos con Windows Phone, el agent se instala en el dispositivo del target a travésde la aplicación Windows Phone. Para completar con éxito la instalación del agent, los siguientesarchivos deben estar en RCS Server:

l un archivo .pfx para firmar el paquete de instalación .xap de Windows Phonel un archivo .aetx como certificado para la aplicación de Windows Phone

Secuencia recomendadaPara generar los archivos .pfx y .aetx complete los siguientes pasos y cárguelos en RCS Server:

Paso Acción

1 Obtenga un código de ID de Symantec que se utiliza para comprar el certificadonecesario para distribuir la aplicación Windows Phone.

2 Obtenga el certificado de Symantec necesario para distribuir las aplicaciones de Win-dows.

3 Instale el certificado de Symantec necesario para distribuir las aplicaciones de Windows.

4 Genere los archivos .pfx y .aetx

5 Cargue los archivos .pfx y .aetx en RCS Server

Cómo leer estas instruccionesNOTA: los enlaces a las páginas web en los procedimientos funcionaban perfectamentecuando se escribió este manual. Si el enlace no funciona, encuentre la página webcorrecta.

En caso de que hubiera discrepancias entre lo que se indica en el manual y las instruccionesrecibidas directamente de las organizaciones involucradas, siga las instrucciones de lasorganizaciones.

Obtener un código ID de SymantecPara obtenerlo, prosiga de la siguiente manera:

RCS9.5 - Preparación de Installation Package paraWindows Phone


Paso Acción

1 Registre una cuenta de Microsoft en https://signup.live.com/signup.aspx?lic=1.

2 Registre una cuenta en Windows Phone Dev Center e inicie sesión con su cuenta deMicrosoft en https://dev.windowsphone.com/en-us/join/

3 l Haga clic en Unirse ahora: aparecerá la página de registro de la cuenta deWindows Phone Dev Center.

l Seleccione Empresa como Tipo de cuenta.l Haga clic en Siguiente.l En la sección Account Info, ingrese sus datos y contactos.l En la sección Publisher Info, ingrese el nombre que se mostrará como dis-

tribuidor de la aplicación durante la instalación como el Nombre del editor.

ADVERTENCIA: el usuario que instale el paquete .xap y el certificado.aetx en este teléfono verá este nombre.

l En la sección Approver Info, ingrese los datos y la información de contactodel gerente de la empresa que puede autorizar la solicitud de registro.

l Siga las instrucciones en pantalla para completar el registro.

IMPORTANTE: proporcione una dirección de correo electrónico y unnúmero de teléfono; se usarán para validar el registro y enviar el ID deleditor.

4 Después del registro, recibirá un correo electrónico de Symantec, el socio deMicrosoft que se encarga de validar a las empresas registradas en el Centro dedesarrollo de Windows Phone, para validar el registro. También puede haber otrascomunicaciones por teléfono.

IMPORTANTE: solicite a la persona encargada de autorizar que respondael correo electrónico de Symantec a la brevedad.

5 Después de la validación, recibirá un correo electrónico con los datos de la cuenta:l Publisher IDl Publisher Name

NOTA: para obtener más información, visitehttp://msdn.microsoft.com/library/windowsphone/help/jj206719(v=vs.105).aspx

Obtener un certificado de SymantecPara distribuir las aplicaciones de Windows Phone se requiere el certificado Enterprise MobileCode Signing.Para obtenerlo, prosiga de la siguiente manera:

RCS9.5 - Obtener un certificado de Symantec


https://signup.live.com/signup.aspx?lic=1

https://dev.windowsphone.com/en-us/

http://msdn.microsoft.com/library/windowsphone/help/jj206719(v=vs.105).aspx

Paso Acción

1 Puede comprar un certificado Enterprise Mobile Code Signingenhttps://products.websecurity.symantec.com/orders/enrollment/microsoftCert.do.

2 l Ingrese el ID del editor que recibió y la dirección de correo electrónico indi-cada en la sección Account Info durante el registro en el Centro de desa-rrollo de Windows Phone.

l Complete la compra siguiendo las instrucciones en pantalla.

3 Al finalizar, recibirá un par de correos electrónicos de Symantec que le indicarán:l la confirmación del pedidol la lista de funciones activadas de acuerdo con el pedidol el certificado y las instrucciones sobre cómo importarlo en su computadora

NOTA: para obtener más información, visitehttps://knowledge.verisign.com/support/code-signing-support/index?page=content&id=SO20770&actp=search&viewlocale=en_US

Instalación del certificado de SymantecPara confirmar la instalación del certificado Enterprise Mobile Code Signing, primero instale losiguiente:

l Enterprise Mobile Rootl Certificado Enterprise Mobile CA

IMPORTANTE: use siempre el mismo navegador para descargar los certificados. Elprocedimiento indicado se refiere al navegador Firefox.

Siga este procedimiento:

Paso Acción

1 Abra Firefox.

2 Copie la URL recibida en el correo electrónico y péguela en la barra de direccionespara instalar el certificado Microsoft Enterprise Mobile Root.

3 En la ventana de diálogo Descargar certificado, marque las tres casillas combinadasy haga clic en Aceptar.

4 Copie la dirección URL recibida en el correo electrónico y péguela en la barra dedirecciones para instalar el certificado Microsoft Enterprise CA Root.

RCS9.5 - Instalación del certificado de Symantec


https://products.websecurity.symantec.com/orders/enrollment/microsoftCert.do

https://knowledge.verisign.com/support/code-signing-support/index?page=content&id=SO20770&actp=search&viewlocale=en_US

https://knowledge.verisign.com/support/code-signing-support/index?page=content&id=SO20770&actp=search&viewlocale=en_US

Paso Acción

4 En la ventana de diálogo Descargar certificado, marque las tres casillas combinadasy haga clic en Aceptar.

NOTA: para verificar si se instalaron los certificados, seleccione elcertificado en el menú de Firefox, Opciones y Avanzadas. Luego seleccionela pestaña Certificados y haga clic enMostrar certificados: aparecerá lalista de nombres con los certificados instalados en Autoridades.

5 Instale el certificado Enterprise Mobile Code Signing desde el enlace que seencuentra en el correo electrónico recibido y haga clic en Continuar.

Genere los archivos .pfx y .aetxLos archivos .pfx y .aetx necesarios para firmar y distribuir las aplicaciones de Windows Phone sepueden generar con el certificado Enterprise Mobile Code Signing.

IMPORTANTE: para el procedimiento se requiere Windows Phone SoftwareDeveloper Kit 8.0, disponible en http://www.microsoft.com/it-it/download/windows.aspx esté instalado en la computadora. La herramienta AETGenerator incluida en este paquete le permite crear el archivo .aetx.

IMPORTANTE: para ejecutar el procedimiento, utilice el mismo navegador que utilizópara instalar los certificados. El procedimiento indicado se refiere al navegadorFirefox.

Siga este procedimiento:

Paso Acción

1 Abra Firefox.

2 En el menú Firefox, seleccione Opciones. A continuación, seleccione la pestañaAvanzada, y luego Certificados.

3 Haga clic enMostrar certificados.

4 l En la pestaña Certificados personales, seleccione el certificado Nombredel editor y haga clic en Exportar

l Guarde el archivo con la extensión .p12l Ingrese la contraseña de exportación del certificado: "password"

IMPORTANTE: ingrese esa contraseña y no otra.

RCS9.5 - Genere los archivos .pfx y .aetx


http://www.microsoft.com/it-it/download/windows.aspx

http://www.microsoft.com/it-it/download/windows.aspx

Paso Acción

5 Cambie el nombre del archivo con la extensión .pfx

6 Desde el intérprete de comandos de Windows, abra la carpeta donde estáguardado el archivo .pfx y ejecute el siguiente comando:"%ProgramFiles (x86)%\Microsoft SDKs\WindowsPhone\v8.0\Tools\AETGenerator\AETGenerator.exe"NombreDelArchivo.pfx passworddonde NombreDelArchivo es el nombre del archivo .pfx.Resultado: se generarán tres archivos en la carpeta donde se encuentra el archivo.pfx:

l AET.aetxl AET.aetl AET.xml

NOTA: para obtener más información, visite http://msdn.microsoft.com/en-us/library/windowsphone/develop/jj206943%28v=vs.105%29.aspx

Cargue los archivos .pfx y .aetx en el servidor de base de datos de RCSSiga este procedimiento:

Paso Acción

1 Copie los archivos al servidor de la base de datos de RCS

2 Desde el intérprete de comandos de Windows, ejecute el siguiente comando parausar el archivo .pfx para firmar las aplicaciones de Windows Phone:rcs-db-config --sign-pfx-winphoneRutaDelArchivo\NombreDelArchivo.pfxdonde RutaDelArchivo es la ruta del archivo .pfx en RCS Server

3 Desde el intérprete de comandos de Windows, ejecute el siguiente comando parausar el archivo .aetx como certificado para las aplicaciones de Windows Phone:rcs-db-config --sign-aetx-winphoneRutaDelArchivo\NombreDelArchivo.aetxdonde RutaDelArchivo es la ruta del archivo .aetxen RCS Server

Vector Local Installation

PropósitoLa compilación instala el agent directamente en el dispositivo del target o crea una carpeta en latarjeta SD para insertarla en el dispositivo.

RCS9.5 - Cargue los archivos .pfx y .aetx en el servidor de base de datos de RCS


http://msdn.microsoft.com/en-us/library/windowsphone/develop/jj206943(v=vs.105).aspx

http://msdn.microsoft.com/en-us/library/windowsphone/develop/jj206943(v=vs.105).aspx

IMPORTANTE: para completar con éxito la instalación en un dispositivo BlackBerry,la aplicación Blackberry Desktop Software debe estar instalada en una computadoracon Windows. La consola creará un archivo .zip con todos los archivos necesariospara infectar a un BlackBerry conectado. Copie el archivo zip en la computadora conWindows (en caso de ser necesario) luego descomprima el archivo .zip. Conecte elBlackBerry a la PC por cable USB, luego ejecute el archivo install.bat. Si el BlackBerrytiene protección por PIN, ingrese el PIN cuando se le solicite.

IMPORTANTE: para completar con éxito la instalación en un dispositivo iOS, laaplicación iTunes debe estar instalada en la computadora.

Vector Melted Application

PropósitoLa compilación modifica un archivo ejecutable existente al insertar el agent en él.Los componentes del agent están codificados para evitar el uso de ingeniería inversa.

RCS9.5 - Vector Melted Application


Parámetros

Nombre Descripción

Aplicación quese usará cómodropper

Archivo ejecutable en el que se agrega el agent.El tipo de archivo difiere en base al sistema operativo:

Dispositivos de escritoriol OS X: archivo MacOs comprimido .app. Se debe comprimir la apli-

cación (una carpeta) con el comando de zip de la consola Ter-minal.app.

l IMPORTANTE: no use el elemento del menú Comprimirdesde la aplicación Finder.

l Windows: archivo EXEl Linux: archivo DEB

Dispositivos móvilesl Android: aplicación APK de terceros.

l IMPORTANTE: pruebe la aplicación final. De hecho,algunas aplicaciones ejecutan controles de seguridadadicionales de runtime.

l Symbian: archivo .sisxl WinMobile: archivo .cab


(solo para Android, WinMobile, OS X) Si la obtención automática no funciona,esta opción activa la solicitud del usuario para obtener privilegios raíz deldispositivo de forma manual.


Vector Network Injection

PropósitoLa página abre la función Network Injector en la sección System.



Vector Offline Installation

PropósitoLa compilación crea un archivo ISO de instalación automática que se grabará en un CD o en unamemoria USB.

Parámetros

Nombre Descripción

CD/DVD dearranque

Crea un instalador automático ISO para CD o DVD.

MemoriaUSB dearranque

Crea un instalador automático para una llave USB.

DumpMask

Extrae automáticamente los documentos pertenecientes a cierto usuario. Losdocumentos pueden guardarse en un periférico USB para importarlos luego en labase de datos RCS.Existen tres opciones disponibles para la captura de documentos:

l Documentos: documentos MS Office, PDF y archivos de textol Imágenes: fotografías e imágenesl Personalizado: selecciona las extensiones de archivos que serán cap-

turadas, separadas por el carácter pleca (“|”).

Instalación o desinstalación de un agentSiga este procedimiento para instalar o desinstalar un agent en la computadora de un target:

Paso Acción

1 Inserte el CD o la llave USB, luego encienda la computadora del target.

2 Arranque desde el medio insertado y espere a que aparezca una ventana.

3 Seleccione el sistema operativo donde se instalará el agent.

4 Seleccione de la lista de sistemas los usuarios donde se instalará el agent.

5 Haga clic en Instalar para comenzar con la instalación o en Desinstalar paraempezar a desinstalar un agent que se haya instalado previamente.

6 Haga clic en Interrumpir para apagar la computadora o en Reiniciar parareiniciarla.

RCS9.5 - Vector Offline Installation


Exportar evidenceSiga este procedimiento para exportar evidence desde la computadora de un target que se infectópreviamente:

Paso Acción

1 Inserte el CD o la llave USB que se usó para la instalación y una llave USB donde seguardará la evidence.

2 Acceso a la computadora del target.

3 Arranque desde el CD o la llave USB de instalación y espere a que aparezca unaventana.

4 Seleccione el sistema operativo donde se instalará el agent.

5 Seleccione en la lista de sistemas los usuarios infectados que le interesen.

6 Haga clic en Exportar registros para exportar la evidence: la evidence recopiladapor el agent se guardará en la llave USB que se inserte específicamente.

7 Haga clic en Interrumpir para apagar la computadora o en Reiniciar parareiniciarla.

Vector Persistent Installation (computadoras de escritorio)

PropósitoEl vector Persistent Installation introduce el agent al firmware de la computadora del target.Este tipo de infección tiene dos grandes ventajas:

l resiste el formateo y la sustitución del discol puede ejecutarse en una nueva computadora, aún antes de que se configuren los usuarios

Preparación del vectorAl compilar una factory con el vector Persistent Installation se crea un archivo .zipNombreDeFactory_windows_persistent.zip en la carpeta Descarga de RCS

Instalación del agentCómo instalar el agent:

RCS9.5 - Exportar evidence


Paso Acción

1 Descomprima NombreDeFactory_windows_persistent.zip.

2 Copie todo el contenido del archivo .zip descomprimido en una llave con formateoFAT32.

IMPORTANTE: la llave solo debe contener el archivoNombreDeFactory_windows_persistent.zip

3 Apague la computadora del target e inserte la llave en el puerto USB de lacomputadora.

4 Encienda la computadora y reiníciela desde la llave insertada: se abrirá una ventana.

5 Continúe el procedimiento siguiendo las instrucciones en pantalla.

Condiciones de activación de la infecciónSi el agent se instaló correctamente, la infección solo estará activada la siguiente vez que sereinicie la computadora, si hay al menos un usuario en el sistema. La infección solo involucra a losusuarios existentes en el momento en que se activa la infección.Si se instala en una computadora que no realizó correctamente el procedimiento de desconexióno hibernación, es necesario apagar y reiniciar la computadora para activar la infección.

Verificar la instalaciónDebido a que una computadora del target no muestra signos de la instalación de un agent, debeusar la RCS Console para verificar la instalación antes de salir de la computadora del target.Cómo verificar la instalación:

Si... Entonces...

La computadora es nueva y no se con-figuró ningún usuario

1. reinicie la computadora2. instale Windows y cree al menos un usuario3. reinicie la computadora4. use la RCS Console para verificar que el

agent sincroniza y envía la evidence5. reinicie la computadora

ya hay usuarios en la computadora 1. reinicie la computadora2. verifique que el agent se sincroniza con la

RCS Console y envía la evidence

Vector Persistent Installation (dispositivos móviles)

PropósitoEl vector Persistent Installation introduce el agent al firmware de la computadora del target.

RCS9.5 - Condiciones de activación de la infección


Este tipo de infección también resiste el restablecimiento de los valores predeterminados defábrica.

Preparación del vectorLa compilación genera dos vectores APK (Android Application Package File):

l ApplicationName.v2.apk: vector para Android 2.xl ApplicationName.default.apk: vector para Android 3.x y 4.x

Sugerencia: como se requieren privilegios raíz durante la instalación, al compilar elvector, active la opción Solicitar intervención del cliente para asegurar que seobtengan los privilegios.

Instalación del agentCómo instalar el agent:

Paso Acción

1 Active la opción Orígenes desconocidos en las opciones de configuración deldispositivo (usualmente en Configuración, Aplicaciones). Después de la instalaciónes posible desactivar esta opción.

NOTA: si no se activa esta opción, durante la instalación aparecerá unasolicitud de autorización para instalar una aplicación que no es de AndroidMarket.

2 Obtener privilegios raíz del dispositivo. Consulte "Qué debería saber acerca deAndroid" en la página 156

IMPORTANTE: puede aparecer una solicitud para obtener los privilegiosen el dispositivo del target.

3 Ejecute el vector APK apropiado en el dispositivo.

4 Durante la instalación del vector APK, acepte los permisos solicitados por el agent.

5 Para Android 3.x y 4.x, haga clic en Abrir para iniciar el vector, de lo contrario elvector no se instalará.

IMPORTANTE: el vector APK predeterminado para Android 3.x y 4.xaparecerá como una aplicación normal llamada DeviceInfo, que muestrala información del dispositivo.

RCS9.5 - Preparación del vector


Parámetros

Nombre Descripción


Si la obtención automática no funciona, esta opción activa la solicitud delusuario para obtener privilegios raíz del dispositivo de forma manual.


Vector QR Code/Web Link

PropósitoLa compilación crea un código QR que se agregará a cualquier sitio web o documento impreso.Tan pronto como el target captura el código QR, el agent se instala en el dispositivo.

OperationsNi bien el target se conecta con el Anonymizer y solicita el instalador, el Collector descarga elinstalador correcto para el sistema operativo del dispositivo del target en la carpetaC:\RCS\Collector\public .

NOTA: si el sistema operativo del target es desconocido, use la versión multiplataforma.


Parámetros

Nombre Descripción

Nombre de laaplicación


URL Conexión a un Anonymizer donde se guardó el instalador.



Nombre Descripción


(solo para Android) Si la obtención automática no funciona, esta opciónactiva la solicitud del usuario para obtener privilegios raíz del dispositivo deforma manual.


Aplicación quese usará cómodropper

(solo para Android) Aplicaciones APK de terceros donde se agregará elagent.

l IMPORTANTE: pruebe la aplicación final. De hecho,algunas aplicaciones ejecutan controles de seguridadadicionales de runtime.

Nombre (solo para BlackBerry) Datos de la aplicación usados para "ocultar" el agent.

Descripción

Vendedor

Versión

Certificado vin-culado a IMEI

(solo para Symbian) Certificado del dispositivo.

Llave vinculadaal certificado

(solo para Symbian) Llave del certificado.

Edición S60 (solo para Symbian) Versión del sistema operativo.

Vector Silent Installer

PropósitoLa compilación crea un archivo ejecutable que instala el agent en modo silencioso. No hay ningúnresultado visible en el dispositivo.

Vector U3 Installation

PropósitoLa compilación crea un instalador automático ISO que se escribirá en una llave U3 (SanDisk) pormedio del programa U3 customizer (es posible descargar el software de Internet).Cuando la llave se inserta en el dispositivo, se abre un menú para la instalación del agent (no sedetectará ningún disco USB automáticamente).

RCS9.5 - Vector Silent Installer


Vector WAP Push Message

PropósitoCrea un mensaje WAP-Push que invita al target a visitar un enlace.

OperationsEnvía un mensaje WAP-Push que contiene texto o un enlace al instalador del agent. Si el mensajees aceptado en el dispositivo del target, el agent será instalado.

IMPORTANTE: para Symbian es necesario obtener el certificado.

NOTA: si el sistema operativo del target es desconocido, use la versión multiplataforma.Esto crea instaladores para todas las plataformas compatibles y se guarda en la carpetaPublic del Collector. Ni bien el target se conecta con el Anonymizer y solicita elinstalador, el Collector descarga el instalador correcto para el sistema operativo deldispositivo del target.

InstalaciónLa compilación crea un instalador y guarda automáticamente el paquete de archivos en lacarpetaC:\RCS\Collector\public .


Parámetros

Nombre Descripción

Nombre dela apli-cación


Número deteléfono

Número de teléfono del target, incluido el código de área internacional.

URL Conexión a un Anonymizer donde se guardó el instalador. Si el paquete se guardóen otro sitio web, indique la dirección URL.

RCS9.5 - Vector WAP Push Message


Nombre Descripción

Tipo de ser-vicio

Tipo de servicio solicitado:l Carga: el teléfono del target se redirecciona automáticamente al recurso

indicado en la URL. En base a la configuración de seguridad del teléfono,se puede instalar automáticamente o se puede mostrar un mensaje parael usuario, en el que se le solicite proceder.

l Indicación: se mostrará un mensaje en el que se le indique al usuariocómo proceder.

l SMS: envía un enlace precedido por el texto especificado

Texto (solo para Indicación y SMS) Prueba para el usuario target.

Solicituddeinteraccióndel usuario

(solo para Android) Si la obtención automática no funciona, esta opción activa lasolicitud del usuario para obtener privilegios raíz del dispositivo de forma manual.

ADVERTENCIA: la solicitud se mostrará en el dispositivo del target.

Aplicaciónque seusará cómodropper

(solo para Android) Aplicaciones APK de terceros donde se agregará el agent.IMPORTANTE: pruebe la aplicación final, ya que algunas aplicacionesejecutan controles de seguridad adicionales de runtime.

Nombre (solo para BlackBerry) Datos de la aplicación usados para "ocultar" el agent.

Descripción

Vendedor

Versión

Certificadovinculado aIMEI

(solo para Symbian) Certificado del dispositivo.

Llave vin-culada alcertificado

(solo para Symbian) Llave del certificado.

Edición S60 (solo para Symbian) Versión del sistema operativo.



RCS 9.5 Manual del técnicoManual del técnico 1.9 NOV-2014© COPYRIGHT [email protected]

HT S.r.l.via della Moscova, 13

20121 Milan (MI)Italia

tel.: + 39 02 29 060 603fax:+ 39 02 63 118 946www.hackingteam.com

e-mail:[email protected]

Documents

RCS - Manual del técnico 9.5 Technician ES... · 2019-07-08 · RCS 9.5 Lasuitedehackingparaintercepcióngubernamental Manualdeltécnico Manualdeltécnico-ver.1.9NOV-2014 2014©HTS.r.l